Categories: SeguridadVirus

Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

Con este parche Microsoft rompe su norma de publicar las actualizaciones

el segundo martes de cada mes, lo cual indica la gravedad que los

problemas corregidos suponen para la propia Microsoft.

El primero

de los problemas corregidos es la conocida vulnerabilidad de ocultación

y falsificación de URLs, utilizada en los últimos tiempos en varias

estafas de banca online como el caso del Banco Popular que ya

denunciamos en este servicio y del cual demostramos su importancia en

varios test que evidenciaban la gravedad del problema.

La

vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs

que contienen caracteres especiales. Cuando se combinaba con una forma

de autenticación básica de la forma usuario:contraseña@ al comienzo de

la URL, un atacante podía lograr construir un enlace de forma que al

seleccionarlo el usuario visualizara una URL concreta en la barra de

direcciones de Internet Explorer, cuando en realidad se visitaba un

sitio web diferente.

Para demostrar la gravedad e implicaciones

de este problema Hispasec elaboró la siguiente página web con varios

enlaces que demostraban la vulnerabilidad:

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

La segunda vulnerabilidad está relacionada con el modelo de

seguridad de dominios cruzados de Internet Explorer que evita que

ventanas de diferentes dominios intercambien información. Esta

vulnerabilidad podía llegar a permitir la ejecución de scripts en la

zona de seguridad local.

La última de las vulnerabilidades

corregidas hace relación a la operación de arrastrar y soltar durante

eventos de dynamic HTML (DHTML) en Internet Explorer. Esta

vulnerabilidad puede permitir que se grabe un archivo en el sistema del

usuario si este llega a pulsar en un enlace. Al usuario no se le

presentará ningún cuadro de dialogo para aprobar la descarga.

Al corregir la vulnerabilidad de falsificación de URLs esta actualización de

Internet Explorer también introduce cambios en la funcionalidad de

Autenticación Básica del navegador. El parche elimina el soporte para

tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con

Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta

la siguiente sintaxis:

http(s)://nombre_de_usuario:contraseña@servidor

Sobre este

asunto Microsoft ha publicado un artículo en su base de conocimientos y

como solventar los problemas que este cambio de comportamiento pueda

ocasionar a desarrolladores de aplicaciones y sitios web.

http://support.microsoft.com/default.aspx?scid=kb;[LN];834489

Las actualizaciones publicadas se pueden descargar desde las siguientes

direcciones:

Internet Explorer 6 Service Pack 1

Internet Explorer 6 Service Pack 1 (64-Bit Edition)

Internet Explorer 6 para Windows Server 2003

Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)

Internet Explorer 6

Internet Explorer 5.5 Service Pack 2

Internet Explorer 5.01 Service Pack 4

Internet Explorer 5.01 Service Pack 3

Internet Explorer 5.01 Service Pack 2

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago