SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA
|
|
| |
SERVICIO ASISTENCIA TÉCNICA INFORMÁTICA |
|||
| www.satinfo.es | |||
Nuevo problema de seguridad en Internet Explorer
Esta semana han sido publicados dos fallos de seguridad en Internet Explorer, uno de los cuales es grave y no existe parche aún para solventarlo.
Este último permite ejecutar código arbitrario en
el sistema con sólo visitar una Web que permita explotar dicha vulnerabilidad.
Aunque se han publicado todos los detalles en varios sitos Web no se han
detectado aún ataques masivos que permitan explotarlo pero visto lo visto es más
que probable que no tarden en empezar. Estos ataques aprovechan un fallo en el
manejo de punteros de la función "getElementsByTagName" de mshtml.dll al
procesar objetos CSS. Un hacker puede ejecutar código arbitrario utilizando los
privilegios del usuario que ha iniciado el navegador con sólo visitar uno de los
sitios preparados para ello.
Aunque Microsoft ya ha reconocido el fallo no se ha publicado aún un parche que
solvente esta vulnerabilidad aunque se espera su publicación en breve.
Este fallo de seguridad sólo afecta a las versiones de Internet Explorer 6 y 7
por lo que es suficiente con actualizar el navegador a la versión 8 actual; en
caso de no poder realizar dicha actualización se recomienda seguir una serie de
pasos para mejorar la seguridad de Internet Explorer:
Cambiar a "Alto" la seguridad del apartado de sitios "Internet"
Desactivar Active Scripting desde Opciones de Internet -> seguridad -> nivel personalizado
El otro fallo de seguridad de Internet Explorer no es tan peligroso pero se tiene que tener también en cuenta.
Si se abren páginas almacenadas en el disco duro con Internet Explorer y se imprimen en formato PDF con una impresora virtual se añade información al archivo tal como la ruta local de la página, cosa que podría permitir a un supuesto atacante llegar a obtener el nombre de usuario o sistema operativo con sólo analizar el archivo con un editor.
Aunque este fallo afecta a todas las versiones de Internet Explorer (incluyendo la versión 8) Microsoft no lo considera un fallo de seguridad por lo que no se prevé un parche que lo solvente.
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 26 de Noviembre de 2009