Categories: SeguridadVirus

Tres nuevas vulnerabilidades en Internet Explorer

La primera consiste en que el uso de una doble barra :\ en un

localizador de recursos CODEBASE puede ser utilizado para saltarse la

comprobación de seguridad en Internet Explorer. Potencialmente, esto

podría ser explotado para forzar al Explorer a acceder a recursos

locales.

La segunda consiste en una revelación de perfil de

usuario. Es posible acceder a archivos en el perfil de usuario sin

conocer el nombre de este, sustituyéndolo con el archivo

file:///::{450D8FBA-AD25-11D0-98A8-0800361B1103}.

La

tercera se basa en que es posible forzar a Internet Explorer a que

parsee un archivo local creando un IFRAME, que tiene como SRC un recurso

remoto que redirige a un recurso local. Parsear el archivo local

requerirá que el IFRAME se refresque, lo que puede hacerse

automáticamente utilizando un script.

Se ha publicado un

ejemplo de código de prueba de concepto, que combina las

vulnerabilidades arriba mencionadas con otras anteriores y un error en

el reproductor Flash. Dicho exploit es capaz de instalar y ejecutar

código arbitrario.

Las vulnerabilidades se han confirmado en

IE 5, 5.5 y 6 con todos los parches actualmente disponible.

Para

paliar el problema se recomienda desactivar Secuencias de comando

ActiveX en todos los lugares excepto los de confianza.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

La ciberseguridad del IoT crecerá un 120% en el próximo lustro

El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…

1 día ago

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

2 días ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

2 días ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

2 días ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

2 días ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

2 días ago