buenas
fuente:
http://www.hispasec.com/unaaldia/1862copio:
Se han descubierto múltiples vulnerabilidades en Internet Explorer que
usadas de forma combinada pueden ser explotadas para comprometer el
sistema de un usuario.
1) La característica de redirección utilizando la cabecera "mhtml:"
del URI puede ser explotada para esquivar una comprobación de
seguridad en el Internet Explorer que normalmente evita que las
páginas web en la zona "Internet" interprete archivos locales.
2) La característica anteriormente mencionada también puede ser
explotada para ejecutar un archivo malicioso en el sistema del
usuario. La explotación con éxito requiere que se pueda ejecutar
código script en la zona "MyComputer".
3) Una vulnerabilidad de cross-site scripting puede ser utilizada para
ejecutar código en la zona de seguridad asociada con otra página si
ésta contiene un subframe. Esto podría permitir la ejecución de código
arbitrario en la zona "MyComputer".
4) Una variante de una vulnerabilidad "corregida" puede ser explotada
para secuestrar los cliks de usuario y realizar ciertas acciones sin
el conocimiento de este.
5) Un error en la funcionalidad de descarga puede ser explotada para
visualizar el directorio de cache del usuario utilizando una extensión
de fichero "htm" y un valor no válido en el campo de cabecera
"Content-Type". Esto no afecta a todas las versiones y puede haber
sido corregida en la última actualización del Internet Explorer.
Estas vulnerabilidades han sido confirmadas en Internet Explorer 6,
aunque otras versiones anteriores podría verse afectadas. La gravedad
del asunto aumenta ya que se tiene constancia de que hay códigos de
explotación circulando por la red.
Mientras Microsoft publica un parche de actualización que corrija
estos problemas, se recomienda desactivar el scripting de todos
lugares a los que se acceda excepto de los de confianza.
saluets :roll:
PD: Más aún como puede ser posible :wink:
