Sergio de los Santos - El pasado día ocho de
junio Microsoft hacía público un boletín en el que alertaba de dos nuevas
vulnerabilidades conocidas a las que calificaba de moderadas. La primera hace
referencia al componente DirectPlay que permite una parada del servicio si se
ejecuta la aplicación en red. Afecta a todos los sistemas operativos. La segunda
habla de un fallo de seguridad en el visor web Crystal Reports, incluido en
paquetes como Visual Studio .NET 2003 y Outlook 2003. El fallo permitiría bajo
ciertas circunstancias manipular archivos locales.
Aunque Microsoft haya puesto a disposición de todos parches para solucionarlos y
calificado estos problemas como moderados, ha obviado contemplar dos
vulnerabilidades mucho más graves descubiertas antes de la publicación de ese
boletín y que afectan a un programa mucho más popular como es Internet Explorer.
La empresa especializada en dar a conocer fallos de seguridad Secunia, advertía
en uno de sus boletines de dos graves fallos de seguridad en Internet Explorer
calificados como críticos que permitían la ejecución de código en las víctimas y
para los que, tras la publicación del boletín de seguridad de Microsoft el
pasado martes, no existe solución oficial.
Uno de los fallos permite la ejecución de cualquier programa alojado en el
sistema de la víctima y del que se conozca su ruta. Otro de los fallos permite
ejecutar a través de Internet Explorer programas en la zona de seguridad de
"Local Machine" lo que implica acceso garantizado a zonas sensibles del sistema
operativo.
Estas vulnerabilidades, en combinación con otras conocidas del navegador,
permiten la ejecución de código arbitrario en las víctimas con solo visitar un
enlace determinado. Secunia reconoce que estas vulnerabilidades están siendo
utilizadas masivamente por spammers y otros para la instalación silenciosa de "adware"
(programas que emiten publicidad no solicitada) en los sistemas de los usuarios.
Scunia ha podido confirmar los errores en el navegador Internet Explorer
parcheado contra todos los problemas de seguridad oficialmente reconocidos hasta
ahora.
Existen varias organizaciones y usuarios especializados que hablan de hasta
veinte vulnerabilidades no reconocidas oficialmente en el navegador de Microsoft
y a las que la empresa de Redmon aún no ha dado solución. No es la primera vez
que Microsoft "llega tarde" y deja pasar más de un mes desde que se hace público
un fallo hasta que emite una solución para el problema.
Por ahora y hasta que presumiblemente se publique una solución en el próximo
boletín programado para el trece de julio, la única forma de prevenir la
vulnerabilidad es utilizar otro navegador o elevar el nivel de seguridad del
navegador para todas las páginas sospechosas.
Más información y referencias:
Internet Explorer Local Resource Access and Cross-Zone Scripting Vulnerabilities
http://secunia.com/advisories/11793?menu=info
Vulnerability in DirectPlay Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-016.mspx
Vulnerability in Crystal Reports Web Viewer Could Allow Information Disclosure
and Denial of Service
http://www.microsoft.com/technet/security/bulletin/MS04-017.mspx
(*) Sergio de los Santos es miembro de la Comisión de
Seguridad de la Asociación de Internautas
http://seguridad.internautas.org/article.php?sid=333&mode=thread&order=0
|