[hackmeeting] Importante parche acumulativo para Internet Explorer

Hubble Hubble en flashmail.com
Lun Dic 17 10:32:06 CET 2001 

Hol en s,

Por si alguien tiene a algun/a amig@ que tenga un/a prim@ que su cuñao
tiene una novia que usa IE 5.5 o IE6. y quereis aconsejarle a pesar del
pringao howto.

Adioses,

Hubble, 8-)


-------------------------------------------------------------------
  Hispasec - una-al-dia                                  14/12/2001
  Todos los dias una noticia de seguridad          www.hispasec.com
 -------------------------------------------------------------------

 
 ----------------------------------------------------

Microsoft publica un parche acumulativo que tras su instalacion elimina
todas las vulnerabilidades conocidas que afectan a IE 5.5 e IE 6. Ademas
de cubrir todos los problemas conocidos el nuevo parche tambien elimina
tres nuevas vulnerabilidades.

La primera de las nuevas vulnerabilidades, que solo afecta a Internet 
Explorer 6, reside en un fallo en el tratamiento de los campos 
Content-Disposition y Content-Type de la cabecera HTML. La
vulnerabilidad 
existe si el atacante modifica la cabecera HTML de forma que haga creer 
a IE que un archivo ejecutable es un tipo de archivo diferente, de forma 
que se pueda abrir sin necesidad de necesitar la confirmacion del
usuario. 
Esto puede posibilitar a un atacante la creacion de una pagina web o 
un mensaje html que al abrirse ejecute un programa de forma automatica 
en el ordenador del usuario.

La segunda de las vulnerabilidades es una nueva variante de la conocida
como "Frame Domain Verification" discutida en el boletin de seguridad
MS01-015. Esta nueva variante puede permitir a un administrador web
malicioso abrir dos ventanas del navegador, una en el dominio del sitio
web y otra en el sistema de archivos local del usuario y pasar
informacion de la segunda a la primera. Esto permitira al atacante leer
cualquier archivo del ordenador del usuario que pueda abrirse con el
navegador. Esta vulnerabilidad afecta a las versiones 5.5 y 6.0 de
Internet Explorer.

La ultima de las nuevas vulnerabilidades, que tambien afecta a las
versiones 5.5 y 6.0 de Internet Explorer, hace relacion a un fallo al
mostrar los nombres de archivo en el cuadro de dialogo de descargas. Al
iniciar una descarga se muestra el nombre del archivo en un cuadro de
dialogo, pero un atacante podra falsear este nombre. De esta forma un
administrador web podra hacer que los usuarios acepten tipos de archivos
inseguros.

El parche, que se encuentra disponible en todos los idiomas, puede
descargarse desde la direccion:
http://www.microsoft.com/windows/ie/downloads/critical/Q313675/default.asp

Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1146

Mas informacion:

Boletin de seguridad Microsoft MS01-058:
Cumulative Patch for IE
http://www.microsoft.com/technet/security/bulletin/MS01-058.asp


Antonio Ropero
antonior en hispasec.com

Más información sobre la lista de distribución HackMeeting