lunes, 23 de noviembre de 2009

[Importante usuarios IE 6-7] Nueva vulnerabilidad

Sistemas afectados:
Internet Explorer 6
Internet Explorer 7
Riesgo: Alto
[Contenido técnico] Descripción:
El fallo puede ser explotado por los atacantes para comprometer un sistema vulnerable. El problema viene ocasionado por un puntero en el Microsoft HTML Viewer (mshtml.dll) cuando se solicitan objetos CSS/STYLE a través del método "getElementsByTagName()". Esto puede permitir a los atacantes causar denegación de servicio del navegador o ejecutar código arbitrario, si consiguen engañar al usuario para que visite una página Web especialmente manipulada. [/Técnico]

El exploit publicado en la lista BugTraq ha sido comprobado por Symantec, y ésta ha confirmado que afecta a Internet Explorer 6 y 7. Por el momento el exploit es poco fiable, pero se espera que se disponga en breve un exploit completamente fiable y funcional.

Solución:

Para minimizar las probabilidades de ser afectado por este problema, los usuarios de Internet Explorer deben comprobar que las firmas de su antivirus están actualizadas, deshabilitar el JavaScript y visitar solo páginas Web confiables hasta que se publique un parche por Microsoft.

Instrucciones:
1. Abrir el cuadro de diálogo situado en:
Menú Herramientas -> Opciones de Internet -> Seguridad

2. Para la Zona de Internet y la de Intranet Local seguir los siguientes pasos:
Hacer click en Nivel Personalizado.

Deshabilitar el Active Scripting:
Automatización -> Active Scripting -> Deshabilitar.


Fuente: Internet Storm Center http://isc.sans.org/
Visto en: Cryptex

No hay comentarios: