Microsoft liberó una nueva actualización para Internet Explorer, disponible junto al Boletín de Seguridad MS03-040. Este conglomerado de correcciones soluciona todos los problemas reconocidos por la empresa hasta el momento en las siguientes versiones de su producto:

• Internet Explorer 5.01
• Internet Explorer 5.5
• Internet Explorer 6
• Internet Explorer 6 para Windows Server 2003

Además de todas las vulnerabilidades preexistentes, este parche corrige dos nuevos errores y realiza algunos cambios para mejorar la seguridad del Internet Explorer.

La primera de las fallas corregidas se encuentra en la forma en que Internet Explorer interpreta cierto tipo de objetos devueltos por un servidor web en una ventana popup (o flotante). Aprovechando esto, es posible ejecutar código arbitrario en un equipo que acceda a una página de internet o a un mensaje de correo electrónico en formato HTML especialmente preparado para explotar esta vulnerabilidad.

El otro agujero de seguridad corregido también tiene que ver con que Internet Explorer no interpreta correctamente ciertos objetos devueltos por el servidor, pero durante una operación con información en formato XML. Las consecuencias son las mismas que con la falla anterior, pudiéndose realizar cualquier acción en un ordenador vulnerable.

Además, se ha modificado la forma en que Internet Explorer maneja algunas etiquetas DHTML en la Zona Restringida. De esta manera se busca evitar que se pueda saltear la seguridad de dicha zona con alguna de las vulnerabilidades antes mencionadas para que se ejecute código en la Zona Restringida como si se tratara de la Zona de Internet. Este cambio también restringe la posibilidad de Windows Media Player de instanciar URLs en la Zona Local hacia otras zonas de seguridad.

Como recomendación adicional, es importante que quienes instalen este parche, también apliquen la última actualización para Windows Media Player que se discute en el artículo 828026.

Para instalar el parche acumulativo para Internet Explorer, existen las siguientes direcciones:

• Internet Explorer 6.0 para Windows Server 2003
• Todas las versiones restantes
• Windows Update

Microsoft ha catalogado el parche como crítico por lo que se recomienda su instalación a la brevedad posible. Más información puede encontrarse en el Boletín de Seguridad MS03-040 antes mencionado.

Junto al Boletín de Seguridad MS03-032, Microsoft ha liberado un nuevo conglomerado de actualizaciones para su navegador que contiene soluciones para todas las fallas conocidas hasta la fecha, más correcciones a tres nuevos agujeros de seguridad descubiertos recientemente, todos ellos catalogados como críticos.

Este parche acumulativo sólo soluciona estas fallas en las siguientes versiones del navegador:

• Internet Explorer 5.01 SP2 sobre Windows 2000 SP3 o SP4
  
• Internet Explorer 5.5 SP2 sobre cualquier plataforma Windows
  
• Internet Explorer 6.0 SP1 sobre cualquier plataforma Windows

Otras versiones pueden estar afectadas, por lo que recomendamos que, de no contar con alguna de las últimas versiones, actualicen su navegador a la última disponible.

Las tres nuevas vulnerabilidades resueltas por este parche son las siguientes:

• La posibilidad de ejecutar código script en la Zona Mi PC, desde un sitio de internet abierto en una ventana del navegador. Esto es muy peligroso dado que la Zona Mi PC, tiene menores restricciones de seguridad y puede conllevar en la ejecución de cualquier programa por parte del atacante en el equipo vulnerable.
  
• Una falla en el Internet Explorer que se debe a que el navegador no determina correctamente ciertos objetos devueltas por un servidor de internet, lo cual puede ser aprovechado para ejecutar código arbitrario.
  
• Se desactiva un control ActiveX vulnerable, ya no utilizado por el navegador, el cual se utilizaba para la Herramienta de Reporte de Windows, y se encuentra en el archivo BR549.DLL. Este control tendría un agujero de seguridad, por lo que al desactivarlo, se evita que la misma pueda ser aprovechada remotamente.

También se hicieron modificaciones en la forma en que el Internet Explorer interpreta el código HTML, dado que en algunos casos el navegador, o el Outlook Express, podían cesar de funcionar mientras mostraban una página en ese formato (el estándar de Internet). 

Además, este parche acumulativo contiene una solución mejorada al problema corregido con el parche adjunto al Boletín de Seguridad MS03-020, dado que el mismo no tenía en cuenta soluciones para todos los escenarios posibles de explotación de la falla.

Las direcciones de descarga del parche son las siguientes:

• Parche para todas las versiones excepto Internet Explorer 6.0 para Windows Server 2003
  
• Parche para Internet Explorer 6.0 para Windows Server 2003
  
• Windows Update

Más información sobre este parche puede ser encontrada en el Boletín de Seguridad MS03-032.

Microsoft ha liberado un nuevo conglomerado de actualizaciones para su navegador de internet, el cual contiene todas las correcciones anteriores, más soluciones para dos nuevos agujeros de seguridad de reciente descubrimiento.

La primera de las fallas encontradas se basa en la posibilidad de sobreescribir un buffer no chequeado correctamente debido a que Internet Explorer no determina apropiadamente el tipo de objeto que es devuelto por el servidor web. Esta falla puede ser explotada desde una página o mensaje de correo electrónico para ejecutar código arbitrario en un equipo vulnerable.

La segunda vulnerabilidad fue encontrada en la forma en que Internet Explorer muestra las ventanas de dialogo de descarga de archivos, y también es posible aprovecharla en forma remota para ejecutar código arbitrario cuando el usuario abre un mensaje de correo electrónico o visita una página de internet.

Salvo en la versión para 2003, ambos agujeros de seguridad son considerados de gravedad crítica.

Las versiones afectadas por estas vulnerabilidades y para las que se ha liberado este nuevo parche acumulativo son:

• Internet Explorer 5.01 para Windows 2000
• Internet Explorer 5.5
• Internet Explorer 6.0
• Internet Explorer 6.0 para Windows 2003

Los parches pueden ser descargados desde las siguientes direcciones:

• Página de descarga
• Windows Update

Más información sobre estas actualizaciones puede encontrarse en el Boletín de Seguridad MS03-020.

Adicionalmente, es necesario aplicar la actualización para el método showHelp, el cual fue reemplazado por parches anteriores. Puede ser descargado desde el artículo de la Base de Conocimiento 811630.

Ha sido publicado un nuevo conglomerado de correcciones para el navegador de Microsoft, el cual contiene soluciones para 4 reciente vulnerabilidades, 3 de ellas de gravedad crítica.

Las fallas corregidas por este parche están asociadas a los siguientes agujeros de seguridad:

• La posibilidad de sobreescribir un buffer en el componente URLMON.DLL de manera que pueda ejecutarse código arbitrario en el equipo del usuario, desde un sitio de internet o un mensaje de correo electrónico en formato HTML.
   
• Una falla en el control de upload de archivos del Internet Explorer que permitiría subir silenciosamente información a un sitio remoto cuando esté es accedido por un navegador no actualizado.
   
• Una vulnerabilidad que permite incluir código script mientras el navegador interpreta archivos de terceras partes.
   
• Lectura de archivos locales mediante la inclusión de código script en las ventanas de dialogo modales que pueden invocarse desde un sitio de internet.

Además, el parche contiene corrección a una falla en la forma en que Internet Explorer 6 SP1 muestra ayudas al usuario, que podría permitir la lectura de archivos locales.

La actualización puede descargare desde las siguientes direcciones:

• Descarga de Parche acumulativo para Internet Explorer
• Windows Update

Más información sobre esta actualización puede encontrarse en el Boletín de Seguridad MS03-015

Esta nueva actualización de Internet Explorer incluye soluciones para todos los agujeros de seguridad descubiertos hasta el momento y parches para dos fallas recientemente descubiertas.

Ambas fallas están relacionadas con la posibilidad de ejecutar código desde un dominio en otra ventana donde se esté visualizando algo de otro dominio. Este tipo de fallas es crítica dado que de esta manera es posible ejecutar código desde un ambiente inseguro (como Internet) como si se estuviera ejecutando localmente, pasando por alto las restricciones de seguridad del navegador.

Específicamente, la segunda de las fallas está asociada a la función showHelp(), utilizada para mostrar archivos de ayuda. Es posible aprovechar dicho componente para realizar otras acciones y ejecutar cualquier acción en un equipo que acceda a una página de internet especialmente preparada para ello.

El parche acumulativo corrige ambas fallas, y elimina la función showHelp(). Luego, si el usuario actualiza su sistema desde Windows Update, habrá una actualización disponible que le permitirá implementar una versión más segura de dicha función.

Este parche corrige estas vulnerabilidades para las siguientes versiones del navegador:

• Internet Explorer 5.01 (sólo bajo Windows 2000)
• Internet Explorer 5.5
• Internet Explorer 6

Es importante hacer notar que para poder aplicar este parche es necesario antes tener instalados los Service Pack últimos de su versión de sistema operativo y navegador:

• Windows NT Service Pack 6a
• Windows 2000 Service Pack 3
• Windows XP Service Pack 1
• Internet Explorer 5.5 Service Pack 2
• Internet Explorer 6.0 Service Pack 1

Luego, el parche puede ser descargado e instalado desde las siguientes ubicaciones:

• Microsoft Download Center
• Windows Update

Más información sobre este parche y las vulnerabilidades que corrige puede ser encontrada en el Boletín de Seguridad MS03-004.