Home » Avisos y Alertas

CA-AL-26-0210: MS Internet Explorer - Vulnerabilidad en protocolo 'file'


ALERTA: MS Internet Explorer - Vulnerabilidad en protocolo 'file'


05-02-2010                                                CA-AL-26-0210
 


PROBLEMA:

 Una vulnerabilidad fue identificada en Microsoft Internet Explorer que de ser explotada por atacantes remotos podría ser utilizada para revelar información sensible del sistema afectado. El problema es causado por un error en el navegador al permitir acceder a contenido local HTML vía el protocolo "file://" que puede ser utilizado por atacantes para acceder a archivos de nombre conocidos (por ejemplo el "index.dat" con el contenido de las cookies de usuario).

 La vulnerabilidad solo afecta a aquellos navegadores que no están corriendo en modo protegido. Este modo se habilita por defecto en las versiones de Internet Explorer en Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008.

 

VERSIONES AFECTADAS:

Microsoft Internet Explorer 5.x
Microsoft Internet Explorer 6.x
Microsoft Internet Explorer 7.x
Microsoft Internet Explorer 8.x
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 3
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition Service Pack 2
Microsoft Windows Vista x64 Edition Service Pack 2
Microsoft Windows Vista x64 Edition Service Pack 1
Microsoft Windows Vista x64 Edition
Microsoft Windows Vista Service Pack 2
Microsoft Windows Vista Service Pack 1
Microsoft Windows Vista
Microsoft Windows Server 2008 R2 (x64)
Microsoft Windows Server 2008 R2 (Itanium)
Microsoft Windows Server 2008 (x64) Service Pack 2
Microsoft Windows Server 2008 (x64)
Microsoft Windows Server 2008 (Itanium) Service Pack 2
Microsoft Windows Server 2008 (Itanium)
Microsoft Windows Server 2008 (32-bit) Service Pack 2
Microsoft Windows Server 2008 (32-bit)
Microsoft Windows Server 2003 x64 Edition Service Pack 2
Microsoft Windows Server 2003 SP2 (Itanium)
Microsoft Windows Server 2003 Service Pack 2
Microsoft Windows 7 (x64)
Microsoft Windows 7 (32-bit)

 

 SOLUCIÓN:

Habilitar en el Internet Explorer la opción de "Network Protocol Lockdown" :
http://support.microsoft.com/kb/980088

 

  

VALORACIÓN DEL IMPACTO:       MEDIANO



REFERENCIAS:

MICROSOFT: http://support.microsoft.com/?scid=kb;es;980088&x=12&y=11
VUPEN: http://www.vupen.com/english/advisories/2010/0291
 

 

»