Múltiples vulnerabilidades en Microsoft Internet Explorer

Se han descubierto múltiples vulnerabilidades en Internet Explorer que
usadas de forma combinada pueden ser explotadas para comprometer el
sistema de un usuario.

1) La característica de redirección utilizando la cabecera mhtml: del

URI puede ser explotada para esquivar una comprobación de seguridad en

el Internet Explorer que normalmente evita que las páginas web en la

zona Internet interprete archivos locales.

2) La

característica anteriormente mencionada también puede ser explotada para

ejecutar un archivo malicioso en el sistema del usuario. La explotación

con éxito requiere que se pueda ejecutar código script en la zona

MyComputer.

3) Una vulnerabilidad de cross-site

scripting puede ser utilizada para ejecutar código en la zona de

seguridad asociada con otra página si ésta contiene un subframe. Esto

podría permitir la ejecución de código arbitrario en la zona

MyComputer.

4) Una variante de una vulnerabilidad

corregida puede ser explotada para secuestrar los clicks de usuario y

realizar ciertas acciones sin el conocimiento de este.

5) Un

error en la funcionalidad de descarga puede ser explotada para

visualizar el directorio de cache del usuario utilizando una extensión

de fichero htm y un valor no válido en el campo de cabecera

Content-Type. Esto no afecta a todas las versiones y puede haber sido

corregida en la última actualización del Internet Explorer.

Estas vulnerabilidades han sido confirmadas en Internet Explorer 6, aunque

otras versiones anteriores podrían verse afectadas. La gravedad del

asunto aumenta ya que se tiene constancia de que hay códigos de

explotación circulando por la red.

Mientras Microsoft

publica un parche de actualización que corrija estos problemas, se

recomienda desactivar el scripting de todos lugares a los que se acceda

excepto de los de confianza.