Vulnerabilidad en
Microsoft Internet Explorer
Vulnerabilidad en Microsoft Internet Explorer puede ser explotada por un atacante remoto para
ejecutar código arbitrario en un sistema vulnerable. Ya se conocen códigos malignos (exploit) que se aprovechan de la misma.
Un error en Internet Explorer en la inicialización de objetos relacionados con la funcion “window()” en conjunto con el evento “
” puede permitir la ejecución de código arbitrario en sistemas vulnerables. La vulnerabilidad puede ser explotada mediante eluso de código javascript malicioso.-
Persuadiendo al usuario para acceder a un documento HTML especialmente modificado (ej.: una página web o un mensaje de correo
electrónico HTML) un atacante podría ejecutar código con los privilegios del usuario en un sistema vulnerable.-
Ya se ha difundido al menos un “exploit”.-
Versiones que contienen esta vulnerabilidad:
Internet Explorer en Microsoft Windows 98
Internet Explorer en Microsoft Windows 98 Segunda Edición
Internet Explorer en Microsoft Windows Millenium
Internet Explorer en Microsoft Windows 2000 con Service Pack 4
Internet Explorer en Microsoft Windows XP con Service Pack 2
Corrección de la vulnerabilidad:
Hasta el momento, Microsoft no ha liberado ningún “parche” para corregir esta vulnerabilidad. Lo que se aconseja es configurar
Internet Explorer para deshabilitar el scripting.-
Se recomienda seguir atentamente las noticias que Microsoft publique en
http://www.microsoft.com/technet/security/advisory/911302.mspx.-
También se puede consultar http://www.computerterrorism.com/research/ie/ct21-11-2005 donde se encontrará el “exploit” y prueba de
concepto del mismo.-
Para deshabilitar el scripting siga los siguientes pasos:
En Internet Explorer, ingresar al Menú Herramientas / Opciones de Internet
Seleccione la solapa Seguridad
Seleccionar Internet dentro de las zonas de contenido web que figuran al comienzo de la solapa
Luego hacer Click sobre el Botón Nivel Personalizado
Se abrirá una nueva ventana llamada Configuración de Seguridad
Buscar dentro de los ítems que figuran en esta ventana el llamado Automatización
Dentro del ítem automatización, buscar el subítem llamado Secuencia de Comandos ActiveX, seleccionando Desactivar dentro de los
valores posibles.
Cabe destacar que la deshabilitación del scripting puede generar algunos inconvenientes con sitios que utilizan esta tecnología para
el reconocimiento de usuarios o información ya cargada en estos sitios, por ejemplo, Hotmail utiliza esta tecnología para reconocer al
usuario y acceder a la casilla de correo.-