Secunia ha liberado una alerta de seguridad sobre una nueva vulnerabilidad en el Microsoft’s Internet Explorer 6. Detalles
El detalle consultivo de Secunia consigna una nueva vulnerabilidad en el Explorador Internet 6 de Microsoft. La señala como una amenaza muy crítica. Michael Zalewski publicó el original consultivo el 23 de abril de 2006 (ver referencia 1). Este consultor de seguridad ha conducido sus propias pruebas y encontró que hasta las versiones remendadas del IE 6 pueden estar afectadas por corrupción de memoria.
La vulnerabilidad potencialmente puede ser explotada por gente maliciosa para comprometer el sistema de un usuario y es causada debido a un error en el procesamiento de ciertas secuencias de etiquetas de HTML “de objeto” anidadas. Esto puede ser explotado para corromper la memoria engañando a un usuario en la visita de un sitio Web. Se supone que ocurre por la ejecución arbitraria de códigos, pero no ha sido probado.
Durante el análisis, Secunia descubrió una variante de esta vulnerabilidad y confirmó la ejecución de código en un sistema totalmente remendado con el Explorador de Internet 6.0 y Microsoft Windows XP SP2. Otras versiones también pueden ser afectadas. Los detalles sobre esta variante no serán revelados públicamente por ahora, pero han sido enviados a Microsoft, donde trabajan actualmente en la solución.
No existen aún remiendos para este defecto. Hasta que Microsoft libere la corrección del problema, la única respuesta válida es: evitar la visita a Websites no confiables.
Mientras tanto, el Equipo de Respuesta de Incidente de Seguridad francés (FrSIRT) no tiene vulnerabilidades de Windows hipercríticas en lista, pero cita varios remiendos críticos para versiones Linux. Cada uno de estos remiendos elimina varias vulnerabilidades CVE detectadas.
· Gentoo ha liberado una actualización dirigida a una vulnerabilidad de ejecución de código remota Mozilla.
· Debian remendó esta amenaza así como otra amenaza de ejecución de código de Firefox la semana pasada.
· Fedora hizo el mismo.
· Fedora y Gentoo remendaron una amenaza de ejecución de código remota Ethereal la semana pasada también.
· El SGI liberó un remiendo crítico la semana pasada.
Nueva vulnerabilidad crítica encontrada en el Explorador de Internet
Más informaciónWeb de Secunia
Más informaciónWeb de Common Vulnerabilities and Exposures