23 noviembre 2005

Nueva vulnerabilidad crítica en Internet Explorer

Nota completa tomada del boletín de Hispasec.

Publicados los detalles de una vulnerabilidad crítica que afecta a todas las versiones de Internet Explorer en Windows 98, ME, 2000 y XP (así como 2003 si se ha modificado la configuración estándar). La vulnerabilidad se considera crítica debido a que permite la ejecución remota de programas, sin intervención por parte del usuario.

Hasta ahora no se había conseguido explotar esta vulnerabilidad para conseguir la ejecución remota de código. Ayer, ComputerTerrorism describió una forma simple de sacar provecho del problema para permitir la ejecución de código. Y para demostrarlo, ha publicado una prueba de concepto donde se ejecuta automáticamente la calculadora de Windows, sin ninguna intervención por parte del usuario.

También están afectados por esta vulnerabilidad aquellos programas que utilizan el motor de Internet Explorer para la visualización de contenido HTML. Entre estos programas se encuentra Outlook Express, Outlook 2002 y Outlook 2003 cuando visualizan los mensajes HTML.

La forma más eficiente de evitar esta vulnerabilidad pasa por desactivar el soporte de JavaScript en Internet Explorer. Otra forma, igualmente eficiente de evitar esta vulnerabilidad consiste en utilizar un navegador diferente, como por ejemplo Firefox.

Prueba de concepto
http://www.computerterrorism.com/research/ie/poc.htm

Yo también recomiendo Firefox como una excelente alternativa para navegar, no todo en la vida es Internet Explorer.

1 comentario:

Ricardo Cortizo dijo...

Por fortuna, tengo muuucho tiempo de haber dejado explorer atrás.

Un abrazo.