De forma adicional este parche elimina cinco nuevas vulnerabilidades.
Tres de ellas tienen relación con el modelo se seguridad de dominios
cruzados de Internet Explorer, que impide que ventanas de diferentes
dominios compartan información. Estas vulnerabilidades pueden permitir
la ejecución de scripts en la zona de seguridad Local. Para explotar
cualquiera de estas vulnerabilidades, el atacante deberá disponer de un
sitio web malicioso con una página web creada para explotar la
vulnerabilidad particular y persuadir al usuario para visitar la página
web. El atacante también podrá crear un e-mail html diseñado para
explotar una de estas vulnerabilidades. Una vez que el usuario visite el
sitio web o el e-mail malicioso el atacante podrá acceder a la
información de otros sitios web, acceder a archivos del sistema del
usuario e incluso ejecutar código en el sistema del usuario.
Otra de las vulnerabilidades tiene relación con la forma en que la
información de la zona se para a un objeto XML dentro de Internet
Explorer. Esta vulnerabilidad puede permitir a un atacante la lectura de
archivos locales en el sistema del usuario. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso con
una página web creada para explotar la vulnerabilidad particular y
persuadir al usuario para visitar la página web. El atacante también
podrá crear un e-mail html diseñado para explotar esta vulnerabilidad.
Una vez que el usuario visite el sitio web o el e-mail malicioso el
usuario será preguntado para descargar un archivo html. Si el usuario
acepta la descarga de este archivo, el atacante podrá leer archivos
locales que se encuentren en una ruta conocida del sistema del usuario.
La ultima de las vulnerabilidades corregidas está relacionada con las
operaciones de arrastrar y soltar durante eventos html dinámicos en
Internet Explorer. Esta vulnerabilidad puede permitir que si el usuario
pulsa en un enlace se grabe un archivo en una localización destino del
sistema del usuario. Al usuario no se le presenta ningún cuadro de
diálogo para que el usuario apruebe la descarga. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso con
una página web que contenga un enlace especialmente creado para explotar
la vulnerabilidad particular y persuadir al usuario para visitar dicha
página web. El atacante también podrá crear un e-mail html diseñado para
explotar esta vulnerabilidad. Una vez que el usuario visite el sitio web
o el e-mail malicioso el usuario y pulse el enlace malicioso se grabará
en el sistema del usuario el código o programa que desee el atacante.
Actualizaciones publicadas:
Tras marcharse SDG, regresa a una compañía en la que había sido líder de datos,…
Además de cofundar Alcion, este directivo creó Kasten y dirigió el desarrollo de productos en…
Bienvenido a un nuevo episodio del podcast semanal Silicon Pulse, un espacio en el que…
Basada en la nube, permite controlar puntos de acceso, switches y routers de forma centralizada.
Para reforzar sus capacidades de gestión, ha establecido alianzas con empresas como Fortinet, Aryaka y…
Oracle revela avances en multicloud, inteligencia artificial y seguridad en Oracle CloudWorld 2024, mejorando la…