La primera consiste en que el uso de una doble barra :\ en un
localizador de recursos CODEBASE puede ser utilizado para saltarse la
comprobación de seguridad en Internet Explorer. Potencialmente, esto
podría ser explotado para forzar al Explorer a acceder a recursos
locales.
La segunda consiste en una revelación de perfil de
usuario. Es posible acceder a archivos en el perfil de usuario sin
conocer el nombre de este, sustituyéndolo con el archivo
file:///::{450D8FBA-AD25-11D0-98A8-0800361B1103}.
La
tercera se basa en que es posible forzar a Internet Explorer a que
parsee un archivo local creando un IFRAME, que tiene como SRC un recurso
remoto que redirige a un recurso local. Parsear el archivo local
requerirá que el IFRAME se refresque, lo que puede hacerse
automáticamente utilizando un script.
Se ha publicado un
ejemplo de código de prueba de concepto, que combina las
vulnerabilidades arriba mencionadas con otras anteriores y un error en
el reproductor Flash. Dicho exploit es capaz de instalar y ejecutar
código arbitrario.
Las vulnerabilidades se han confirmado en
IE 5, 5.5 y 6 con todos los parches actualmente disponible.
Para
paliar el problema se recomienda desactivar Secuencias de comando
ActiveX en todos los lugares excepto los de confianza.
El internet de las cosas (IoT) trae muchas ventajas, pero también comporta nuevos riesgos. El…
Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…
Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…
El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…
Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…
Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…