Actualización acumulativa para
Internet Explorer 

Oxygen3 24h-365d, por Panda Software http://www.pandasoftware.es

Madrid, 7 de octubre, 2003 - Microsoft ha publicado(*) un parche acumulativo para las versiones 5.01, 5.5 y 6.0 de Internet Explorer que incluye todas las actualizaciones anteriores y soluciona dos nuevos y graves problemas de seguridad.

La primera de las referidas vulnerabilidades tiene su origen en que Internet Explorer no determina adecuadamente el tipo de objeto devuelto desde un servidor web en una ventana popup. En la práctica, ésto posibilita la ejecución de código arbitrario en el sistema. Para explotar este problema de seguridad sólo es necesario que el usuario visite un sitio web del atacante, o que reciba un e-mail en formato html, creado maliciosamente.

El segundo de los citados problemas se debe a que Internet Explorer no determina correctamente el tipo de objeto que se devuelve desde un servidor web durante la vinculación de datos html a un conjunto de datos xml. Por ello, un atacante podrá explotar esta vulnerabilidad -también desde un sitio web o desde un mensaje html maliciosamente creado- para lograr ejecutar código arbitrario en el sistema de un usuario.

Microsoft califica ambas vulnerabilidades como "críticas", por el peligro que conlleva su utilización por parte de usuarios maliciosos. De hecho, la pasada semana apareció un troyano -denominado Hatoy-, que utilizó el primero de los citados problemas de seguridad para ejecutarse automáticamente en los equipos de quienes visitaron una página web maliciosa. Por tal motivo, se recomienda instalar las actualizaciones proporcionadas por Microsoft.

(*) Información adicional sobre las mencionadas vulnerabilidades y la disponibilidad de la actualización, según versiones, en el boletín de Microsoft:

http://www.microsoft.com/security/security_bulletins/ms03-040.asp