Un nuevo parche acumulativo para el Internet Explorer fue liberado, y es el primero que también soluciona problemas en la versión de este navegador para el nuevo Windows 2003.

Acaba de salir a la calle, y ya tiene problemas de seguridad que corregir. En realidad, la que está en juego no es la seguridad propia del Windows 2003, sino que la nueva actualización es para el Internet Explorer, incluyendo la versión para el nuevo sistema operativo de Microsoft.

En el Boletín de Seguridad MS03-020, publicado ayer en el sitio de la empresa, se corrigen dos nuevas vulnerabilidades en el navegador de Microsoft, además de incluir en el parche todas las correcciones hasta la fecha para esta aplicación. Ambos agujeros de seguridad brindan a un hipotético atacante la posibilidad de ejecutar código arbitrario en un equipo vulnerable.

El primer problema corregido por este parche se debe a un buffer no chequeado correctamente en la función encargada de determinar que tipo de objeto le envía el servidor web al Internet Explorer. Entonces, a través de la etiqueta OBJECT, un atacante puede llegar a ejecutar cualquier acción en el equipo de su víctima, con lograr que ésta visualice un mensaje de correo electrónico especialmente armado para aprovechar esta falla, o visita una página de internet preparada de la misma manera.

La otra falla está relacionada con la ventana de diálogo que el Internet Explorer muestra al usuario cuando se inicia la descarga de un archivo desde internet. Para aprovecharla es necesario saturar al navegador con varios pedidos simultáneos del mismo archivo, logrando que los mecanismos de seguridad cesen de funcionar correctamente y permitan ejecutar código sin los apropiados chequeos.

Ambas fallas afectan a todas las versiones soportadas por Microsoft de su navegador, a saber:

• Internet Explorer 5.01 (sólo para Windows 2000 SP3)
• Internet Explorer 5.5 SP2
• Internet Explorer 6.0 Gold (Windows XP) o SP1 (en general)
• Internet Explorer 6.0 para Windows 2003

En todas estas versiones, los dos agujeros de seguridad son considerados de gravedad crítica, salvo en el caso de Windows 2003, donde se cataloga a estas fallas como de gravedad moderada. Esto se debe al modo restrictivo que por defecto maneja el Internet Explorer sobre este nuevo sistema operativo.

Conocido como Enhanced Security Configuration (Configuración de Seguridad Mejorada), este grupo de opciones de configuración reduce notablemente las posibilidades de aprovechar este tipo de fallas, agregando una serie de controles adicionales que las versiones anteriores de Internet Explorer no tenían. De esta manera, quien utiliza Windows 2003 con estas configuraciones por defecto estará protegido contra los posibles ataques que puedan ocasionarse por las fallas antes mencionadas.

Por tanto, aunque ya tenemos un parche de seguridad que, indirectamente, afecta a Windows 2003, la nueva naturaleza de este sistema operativo, diseñado con la seguridad más presente que con los anteriores, hace que sus usuarios puedan sentirse un poco más seguros. Y eso, hablando de los tan criticados productos de Microsoft, ya es decir demasiado.

Más información

Virus Attack! – Parches para Internet Explorerhttp://virusattack.virusattack.com.ar/parches/VerParche.php3?aplicacion=4

Microsoft – Boletín de Seguridad MS03-020
http://www.microsoft.com/technet/security/bulletin/MS03-020.asp