De forma adicional este parche elimina cinco nuevas vulnerabilidades.
Tres de ellas tienen relación con el modelo se seguridad de dominios
cruzados de Internet Explorer, que impide que ventanas de diferentes
dominios compartan información. Estas vulnerabilidades pueden permitir
la ejecución de scripts en la zona de seguridad Local. Para explotar
cualquiera de estas vulnerabilidades, el atacante deberá disponer de un
sitio web malicioso con una página web creada para explotar la
vulnerabilidad particular y persuadir al usuario para visitar la página
web. El atacante también podrá crear un e-mail html diseñado para
explotar una de estas vulnerabilidades. Una vez que el usuario visite el
sitio web o el e-mail malicioso el atacante podrá acceder a la
información de otros sitios web, acceder a archivos del sistema del
usuario e incluso ejecutar código en el sistema del usuario.
Otra de las vulnerabilidades tiene relación con la forma en que la
información de la zona se para a un objeto XML dentro de Internet
Explorer. Esta vulnerabilidad puede permitir a un atacante la lectura de
archivos locales en el sistema del usuario. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso con
una página web creada para explotar la vulnerabilidad particular y
persuadir al usuario para visitar la página web. El atacante también
podrá crear un e-mail html diseñado para explotar esta vulnerabilidad.
Una vez que el usuario visite el sitio web o el e-mail malicioso el
usuario será preguntado para descargar un archivo html. Si el usuario
acepta la descarga de este archivo, el atacante podrá leer archivos
locales que se encuentren en una ruta conocida del sistema del usuario.
La ultima de las vulnerabilidades corregidas está relacionada con las
operaciones de arrastrar y soltar durante eventos html dinámicos en
Internet Explorer. Esta vulnerabilidad puede permitir que si el usuario
pulsa en un enlace se grabe un archivo en una localización destino del
sistema del usuario. Al usuario no se le presenta ningún cuadro de
diálogo para que el usuario apruebe la descarga. Para explotar esta
vulnerabilidad un atacante deberá disponer de un sitio web malicioso con
una página web que contenga un enlace especialmente creado para explotar
la vulnerabilidad particular y persuadir al usuario para visitar dicha
página web. El atacante también podrá crear un e-mail html diseñado para
explotar esta vulnerabilidad. Una vez que el usuario visite el sitio web
o el e-mail malicioso el usuario y pulse el enlace malicioso se grabará
en el sistema del usuario el código o programa que desee el atacante.
Actualizaciones publicadas:
Desde el ingeniero en inteligencia artificial al ingeniero de 'prompts', son varios los perfiles que…
Los informes oficiales sitúan el uso empresarial actual de inteligencia artificial en un 13 %,…
Mientras, Alemania, Italia y Francia son los principales compradores extranjeros.
Kaspersky advierte de que hay menores de edad que están siendo reclutados por los ciberdelincuentes…
LinkedIn comparte una lista con las cinco tendencia que definirán la senda del mercado laboral…
Proopoint cree que el año que viene los delincuentes manipularán datos privados asociados a la…