Menú
Inicio
Foros
Nuevos mensajes
Buscar en foros
Novedades
Nuevos mensajes
Nuevos mensajes de perfil
Última actividad
Miembros
Visitantes actuales
Nuevos mensajes de perfil
Buscar mensajes de perfil
Acceder
Registrarse
Novedades
Buscar
Buscar
Buscar sólo en títulos
De:
Nuevos mensajes
Buscar en foros
Menú
Acceder
Registrarse
Install the app
Instalar
Novedades
Foros
Informática
Sistemas Operativos
La parte no oficial de Microsoft
JavaScript está desactivado. Para una mejor experiencia, por favor, activa JavaScript en el navegador antes de continuar.
Estás usando un navegador obsoleto. No se pueden mostrar este u otros sitios web correctamente.
Se debe actualizar o usar un
navegador alternativo
.
Responder al tema
Mensaje
<blockquote data-quote="Tek" data-source="post: 58232" data-attributes="member: 2002"><p>Son días agitados para el navegador de Microsoft, Internet Explorer. A </p><p>día de hoy, existen dos vulnerabilidades importantes sin parche oficial, </p><p>una de ellas incluso está siendo aprovechada masivamente. Diferentes </p><p>compañías sacan parches no oficiales y además, la propia Microsoft </p><p>crea una página oficial donde aceptará sugerencias de usuarios y </p><p>desarrolladores. </p><p></p><p>Hace apenas unos días se hizo pública la existencia de una nueva </p><p>vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas </p><p>de darse a conocer apareció la primera prueba de concepto funcional y </p><p>poco después, como se esperaba, ya existían páginas aprovechando la </p><p>vulnerabilidad. Poco después se daba a conocer otro error igual de </p><p>importante en Internet Explorer. Este ha sido llevado de forma mucho más </p><p>discreta por su descubridor y la propia Microsoft, de forma que no se </p><p>conocen demasiados detalles sobre el problema ni se tiene constancia de </p><p>que esté siendo aprovechado de forma masiva. El fallo se debe a un error </p><p>no especificado en el manejo de aplicaciones .HTA que permite la </p><p>ejecución automática de programas ".HTA" (HTML Applications). </p><p></p><p>El primero de los errores está reconocido y documentado por Microsoft, </p><p>pero no se sabe si publicará un parche antes de lo previsto para mitigar </p><p>el problema o habrá que esperar al día 11 de abril en el que se espera </p><p>su publicación mensual de boletines y parches de seguridad. Mientras, </p><p>Microsoft recomienda modificar la configuración del explorador para </p><p>evitar el Active Scripting. </p><p></p><p>Ante la urgencia y gravedad del problema, eEye y Determina, de forma </p><p>independiente y simultánea, han puesto a disposición de cualquiera </p><p>ejecutables que solucionan (siempre temporalmente y sin garantías) el </p><p>problema. eEye incluso pone a disposición de todos el código fuente del </p><p>parche. Como es lógico las empresas no ofrecen garantías sobre el parche </p><p>y debido a la celeridad con la que han aparecido no aseguran que no </p><p>pueda provocar incompatibilidades con alguna página o software. </p><p></p><p>Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores </p><p>independientes crearon parches no oficiales y los hicieron públicos, en </p><p>esta ocasión son ya dos las compañías que ofrecen una solución cómoda </p><p>para mitigar el problema. Llama la atención que en pocos meses hayamos </p><p>asistido a la aparición de hasta cuatro parches no oficiales destinados </p><p>a mitigar dos problemas de seguridad acuciantes en el navegador de </p><p>Microsoft. El primer parche para WMF fue creado de forma independiente </p><p>por el reconocido Ilfak Guilfanov, desarrollador de uno de los </p><p>desensambladores más populares (IDA), que hizo el trabajo por su cuenta </p><p>y publicó un parche que se mostró muy eficaz y estable. Aunque ya </p><p>existieron parches no oficiales en el pasado para otras </p><p>vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el </p><p>número de descargas hicieron que la página desde donde estaba disponible </p><p>fuese colapsada durante varias horas. A los pocos días Eset, empresa </p><p>detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche </p><p>no oficial para el problema. </p><p></p><p>Es posible que nos hallemos ante una nueva tendencia en la que compañías </p><p>y empresas de seguridad se adelantan a la propia Microsoft con la </p><p>intención de obtener reconocimiento, prestigio, visitas y popularidad. </p><p>Al margen de la eficacia de estos parches y de la libre decisión de </p><p>usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft </p><p>de forma indirecta para la publicación de un parche oficial y provocan </p><p>una importante presión mediática en la compañía, en cuya política de </p><p>publicación de seguridad prima la calidad (dedican mucho más tiempo a </p><p>pruebas que al desarrollo) antes que la velocidad de publicación. De </p><p>hecho, fue la presión mediática la que hizo que no se esperara al </p><p>segundo martes de febrero para publicar el parche oficial para la </p><p>vulnerabilidad WMF. </p><p></p><p>Por otro lado y al margen (o quizás no) de esta publicación no oficial </p><p>de parches, Microsoft saca a la luz un portal desde donde acepta todo </p><p>tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a </p><p>Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo </p><p>compara con Bugzilla. Una idea con la que se pretende estimular la </p><p>cooperación de la comunidad con el producto de Microsoft de una forma </p><p>mucho más cómoda y centralizada. Es evidente que si la comunidad pública </p><p>y privada es capaz de desarrollar parches eficaces, puede aportar mucho </p><p>al navegador, y parece que de esta forma Microsoft, acertadamente, ha </p><p>reconocido la importancia de su colaboración activa. </p><p></p><p></p><p>Opina sobre esta noticia:</p><p><a href="http://www.hispasec.com/unaaldia/2713/comentar">http://www.hispasec.com/unaaldia/2713/comentar</a></p><p></p><p>Más Información:</p><p></p><p>Downloading eEye’s Temporary Workaround</p><p><a href="http://www.eeye.com/html/research/alerts/AL20060324.html">http://www.eeye.com/html/research/alerts/AL20060324.html</a></p><p></p><p>How to Disable Active Content in Internet Explorer</p><p><a href="http://support.microsoft.com/kb/q154036/">http://support.microsoft.com/kb/q154036/</a></p><p></p><p>Determina Fix for CVE-2006-1359</p><p><a href="http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp">http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp</a></p><p></p><p>Announcing Internet Explorer Feedback</p><p><a href="http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx">http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx</a></p><p></p><p>Big hole unearthed in IE6</p><p><a href="http://jeffrey.vanderstad.net/grasshopper/">http://jeffrey.vanderstad.net/grasshopper/</a></p><p></p><p></p><p>Sergio de los Santos</p><p><a href="mailto:ssantos@hispasec.com">ssantos@hispasec.com</a> </p><p></p><p><strong>Fuente <a href="http://www.hispasec.com/">http://www.hispasec.com/</a></strong></p><p><a href="http://www.hispasec.com/unaaldia/2713/">http://www.hispasec.com/unaaldia/2713/</a></p></blockquote><p></p>
[QUOTE="Tek, post: 58232, member: 2002"] Son días agitados para el navegador de Microsoft, Internet Explorer. A día de hoy, existen dos vulnerabilidades importantes sin parche oficial, una de ellas incluso está siendo aprovechada masivamente. Diferentes compañías sacan parches no oficiales y además, la propia Microsoft crea una página oficial donde aceptará sugerencias de usuarios y desarrolladores. Hace apenas unos días se hizo pública la existencia de una nueva vulnerabilidad crítica en Internet Explorer 5.x y 6.x. A las pocas horas de darse a conocer apareció la primera prueba de concepto funcional y poco después, como se esperaba, ya existían páginas aprovechando la vulnerabilidad. Poco después se daba a conocer otro error igual de importante en Internet Explorer. Este ha sido llevado de forma mucho más discreta por su descubridor y la propia Microsoft, de forma que no se conocen demasiados detalles sobre el problema ni se tiene constancia de que esté siendo aprovechado de forma masiva. El fallo se debe a un error no especificado en el manejo de aplicaciones .HTA que permite la ejecución automática de programas ".HTA" (HTML Applications). El primero de los errores está reconocido y documentado por Microsoft, pero no se sabe si publicará un parche antes de lo previsto para mitigar el problema o habrá que esperar al día 11 de abril en el que se espera su publicación mensual de boletines y parches de seguridad. Mientras, Microsoft recomienda modificar la configuración del explorador para evitar el Active Scripting. Ante la urgencia y gravedad del problema, eEye y Determina, de forma independiente y simultánea, han puesto a disposición de cualquiera ejecutables que solucionan (siempre temporalmente y sin garantías) el problema. eEye incluso pone a disposición de todos el código fuente del parche. Como es lógico las empresas no ofrecen garantías sobre el parche y debido a la celeridad con la que han aparecido no aseguran que no pueda provocar incompatibilidades con alguna página o software. Como ya ocurriera con la vulnerabilidad WMF, en la que desarrolladores independientes crearon parches no oficiales y los hicieron públicos, en esta ocasión son ya dos las compañías que ofrecen una solución cómoda para mitigar el problema. Llama la atención que en pocos meses hayamos asistido a la aparición de hasta cuatro parches no oficiales destinados a mitigar dos problemas de seguridad acuciantes en el navegador de Microsoft. El primer parche para WMF fue creado de forma independiente por el reconocido Ilfak Guilfanov, desarrollador de uno de los desensambladores más populares (IDA), que hizo el trabajo por su cuenta y publicó un parche que se mostró muy eficaz y estable. Aunque ya existieron parches no oficiales en el pasado para otras vulnerabilidades, ninguno fue tan popular. El éxito inesperado y el número de descargas hicieron que la página desde donde estaba disponible fuese colapsada durante varias horas. A los pocos días Eset, empresa detrás del antivirus NOD32, se apuntaba al carro y publicaba otro parche no oficial para el problema. Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación. De hecho, fue la presión mediática la que hizo que no se esperara al segundo martes de febrero para publicar el parche oficial para la vulnerabilidad WMF. Por otro lado y al margen (o quizás no) de esta publicación no oficial de parches, Microsoft saca a la luz un portal desde donde acepta todo tipo de feedback o sugerencias (sobre seguridad o no) dedicadas a Internet Explorer. Al Billings, en el blog oficial que lo anuncia, lo compara con Bugzilla. Una idea con la que se pretende estimular la cooperación de la comunidad con el producto de Microsoft de una forma mucho más cómoda y centralizada. Es evidente que si la comunidad pública y privada es capaz de desarrollar parches eficaces, puede aportar mucho al navegador, y parece que de esta forma Microsoft, acertadamente, ha reconocido la importancia de su colaboración activa. Opina sobre esta noticia: [url]http://www.hispasec.com/unaaldia/2713/comentar[/url] Más Información: Downloading eEye’s Temporary Workaround [url]http://www.eeye.com/html/research/alerts/AL20060324.html[/url] How to Disable Active Content in Internet Explorer [url]http://support.microsoft.com/kb/q154036/[/url] Determina Fix for CVE-2006-1359 [url]http://www.determina.com/security_center/security_advisories/securityadvisory_march272006_1.asp[/url] Announcing Internet Explorer Feedback [url]http://blogs.msdn.com/ie/archive/2006/03/24/560095.aspx[/url] Big hole unearthed in IE6 [url]http://jeffrey.vanderstad.net/grasshopper/[/url] Sergio de los Santos [email]ssantos@hispasec.com[/email] [b]Fuente [url]http://www.hispasec.com/[/url][/b] [url]http://www.hispasec.com/unaaldia/2713/[/url] [/QUOTE]
Verificación
Responder
Novedades
Foros
Informática
Sistemas Operativos
La parte no oficial de Microsoft
Arriba