CornerCircleTop
CornerCircleBottom
VButtonBarBottom
Pàgina Inicial
Una per Dia
Articles
Directori
Biblioteca
Alertes
VButtonBarBottom
Una per Dia

Última Modificació del Document
18 de novembre de 2001


Una per Dia - Tornar a l'índex
Versió en català de "Una al día" d'Hispasec

15 de novembre de 2001 - Important actualització de l'Internet Explorer

Microsoft ha publicat un pegat per a solucionar la vulnerabilitat recentment anunciada sobre l'accés remot a les galetes emmagatzemades als discos durs dels usuaris. Aquesta actualització, a més, soluciona tres noves vulnerabilitats i totes les vulnerabilitats conegudes a l'Internet Explorer 5.5 SP2 i l'Internet Explorer 6.

El passat 12 de novembre informàvem d'una vulnerabilitat existent als navegadors de Microsoft, l'Internet Explorer 5.5 i l'Internet Explorer 6.0. Aquesta vulnerabilitat permetia l'accés remot a les galetes enregistrades al disc durs dels usuaris, amb la possibilitat de llegir o modificar-ne el contingut.

En el seu moment, Microsoft no havia publicat encara l'actualització per eliminar aquest problema, però recomanava una sèrie de mesures per tal d'evitar el problema. Ara, Microsoft anuncia la disponibilitat de l'actualització necessària per eliminar aquesta vulnerabilitat. Aquesta nova actualització pot qualificar-se d'interès ja que no només elimina el problema conegut de les galetes, sinó que elimina també totes les vulnerabilitats conegudes a l'Internet Explorer 5.5 SP2 i a l'Internet Explorer 6.

Addicionalment, l'actualització elimina tres noves vulnerabilitats. Les dues primeres fan referència a la forma en que l'IE gestiona les galetes entre dominis i es basen en problemes similars a la primera vulnerabilitat original, ja que mitjançant la utilització d'una URL especialment creada un usuari malèvol podrà aconseguir l'accés a les galetes de l'usuari.

La última de les noves vulnerabilitats solucionades només afecta a l'Internet Explorer 6.0 i és una nova variant de l'anunciada l'11 d'octubre i que fa relació a la forma en que l'Internet Explorer tracta les adreces IP construïdes sense punts, per exemple http://031713501415 en comptes de http://207.46.131.13. Aquest tipus d'adreces s'anomena adreces de 32 bits. El problema ve donat per que l'Explorer no reconeix que l'adreça és una seu remota d'Internet i tracta d'obrir-la amb la configuració de seguretat de la zona Intranet. És a dir, amb menys restriccions de seguretat.

L'actualització està disponible a l'adreça:

  http://www.microsoft.com/windows/ie/downloads/
  critical/q312461/default.asp

Més informació

Butlletí de seguretat de Microsoft MS01-055: Cumulative Patch for IE
http://www.microsoft.com/technet/security/bulletin/
ms01-055.asp

Antonio Ropero
antonior@hispasec.com
Contacte: info@quands.com