BAQUIA

Microsoft distribuye un megaparche para tapar seis agujeros del Explorer

Las versiones 5.1, 5.5 y 6.0 del navegador más popular del planeta, el Internet Explorer de Microsoft, eran un colador. La compañía de Redmond ha distribuido un parche de seguridad de más de 2MB para corregir seis vulnerabilidades de su software, que Microsoft describe como \”críticas\” y urge a todos los usuarios a instalar el remedio.

El parche corrige un agujero que aprovecha el desbordamiento del buffer (memoria intermedia) para dar al asaltante absoluto control sobre la máquina de la víctima, y otro fallo de seguridad que permite al hacker malicioso ver los ficheros del disco duro del usuario de IE. También enmienda la posible manipulación de la cabecera HTML de una página web, que permitiría al asaltante introducir un archivo ejecutable (un virus o le que fuera) haciéndolo pasar por un inofensivo archivo de texto que el programa dejaba arrancar sin problemas.

Microsoft afirma que el fallo más importante tiene que ver con el modo en que el IE 6.0 maneja los campos \”disposición de contenido\” y \”tipo de contenido\” de la cabecera del código HTML. Este bug permite al intruso modificar la información de la cabecera, manipulando la gestión de las descargas que realiza el Explorer. El cracker puede crear una página web o un mensaje HTML que \”automáticamente ejecuta un archivo en el sistema del usuario\”, según Microsoft.

El remiendo compondrá una vulnerabilidad que permite ejecutar scripts en páginas HTML alojadas en el disco duro y una pifia relacionada con las cookies (un sitio web puede leer las cookies de otro), entre otras.

La empresa japonesa Little Earth Corporation (LAC) informó a Microsoft el pasado 13 de febrero de que algunas versiones de su Internet Explorer podrían tratar programas ejecutables como si fuesen \”contenido seguro\”, y además ejecutarlos automáticamente. Al mes siguiente, Microsoft envió un comunicado descartando la información de LAC y tachándola de errónea: \”el problema no tienen nada que ver ni con el Internet Explorer ni con el parche de seguridad\”, afirmaban.

En el boletín distribuido el miércoles, Microsoft afirma que las versiones 5,01 y 6 del Explorer son vulnerables a esa amenaza y agradece a LAC la información facilitada. (LAC incluso creó en su web una demostración inofensiva que arrancaba un programa ejecutable cuando el usuario simplemente pinchaba un enlace).

  • Más en Internet.com y Newsbytes


Compartir en :


Noticias relacionadas

Recomendamos




Comentarios