|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es |
Nueva vulnerabilidad en MS
Internet Explorer v5.01 y v5.5
Microsoft está investigando una nueva vulnerabilidad, que afecta a versiones antiguas de Internet Explorer, y que podría permitir a un atacante ejecutar código arbitrario en el sistema del usuario, dentro del contexto de seguridad donde se encuentre logado el usuario.
El atacante podría llegar a provocar esto a partir de una o más de las siguientes acciones:
- Hospedando una imagen Windows Metafile (WMF) especialmente manipulada en un sitio Web.
Convenciendo al usuario para que abra un adjunto de correo electrónico.
- Convenciendo al usuario para que haga click sobre un enlace dentro de un mensaje de email que le lleve al sitio Web malicioso; ó
- Enviando un mensaje de email a usuarios de Outlook Express, que lo visualizarán en el panel de vista previa.
Nota: No se trata del mismo problema referenciado en Microsoft Security Bulletin
MS06-001 (912919).
La vulnerabilidad existe en :
- Internet Explorer 5.01 Service Pack 4 en Ms Windows 2000 service pack 4
- Internet Explorer 5.5 Service Pack 2 en Ms Windows Millennium
Un atacante puede persuadir a que se visite su sitio web, generalmente invitando a que se pulse sobre un enlace que lleve a su sitio. También sería posible visualizar contenido Web manipulado especialmente, utilizando banners de anuncios, o utilizando otros métodos para ofrecer contenido web a los sistemas afectados. En un ataque basado en e-mail, sería preciso hacer click sobre un enlace al sitio Web malicioso, previsualizar un mensaje de email malicioso, o abrir un adjunto que explote la vulnerabilidad. Tanto en un ataque basado en Web como uno basado en email, el código se ejecutaría en el contexto de seguridad del usuario logado al sistema. Los usuarios cuyas cuentas estén configuradas para tener menos derechos sobre el sistema tendrían un impacto menor que los usuarios que operen con derechos administrativos.
Recomendamos a todos los usuarios que todavía tengan una versión de Internet Explorer 5.01, 5.5 o anterior, que actualicen a la versión actual 6.0.2800.1106.
SATINFO, VIRUSCAN SPAIN
SERVICE 09 de Febrero de 2006