Actualizaciones de seguridad de Microsoft

Actualización crítica de Internet Explorer para vulnerabilidad en IFRAME

Hispasec - una-al-día 2/12/2004  www.hispasec.com

 ------------------------------------------------------------------------

Microsoft rompe su habitual práctica de publicar boletines y actualizaciones de seguridad los segundos martes de mes, para publicar el día uno de diciembre una actualización crítica para Internet Explorer 6.

La actualización publicada por Microsoft tiene como objeto cubrir una reciente vulnerabilidad descubierta en su navegador y que permitía la ejecución de código remota en los sistemas afectados.

La vulnerabilidad está provocada por un error de límites en el tratamiento los atributos SRC y NAME de las etiquetas IFRAME, lo que provoca un desbordamiento de búfer al presentar un documento html maliciosamente preparado a tal efecto. Hay que señalar que ya existen exploits publicados que aprovechan la vulnerabilidad.

La actualización publicada por Microsoft es acumulativa, lo que quiere decir que incluye todas las actualizaciones publicadas para Internet Explorer hasta la fecha.

Microsoft publica las siguientes actualizaciones:
Para Internet Explorer 6 SP 1 sobre Windows 2000 SP4 o Windows XP SP 1:

clic aquí

Para Internet Explorer 6 SP 1 sobre Windows NT Server 4.0 SP 6a, o Windows NT Server 4.0 Terminal Service Edition SP 6, o Windows 98, o Windows Me:

clic aquí

Para Internet Explorer 6 para Windows XP SP 1 (64-Bit Edition):

clic aquí

 Los sistemas Windows XP con Service Pack 2 instalado no se ven afectados.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2231/comentar

Más Información:

Microsoft Security Bulletin MS04-040 Cumulative Security Update for Internet Explorer (889293)

clic aquí

(Exploit Code Has Been Released) Microsoft Internet Explorer Buffer Overflow in IFRAME/EMBED Tag Processing Lets Remote Users Execute Arbitrary Code http://securitytracker.com/alerts/2004/Nov/1012049.html

Antonio Ropero
antonior@hispasec.com