Secunia reporta el descubrimiento de dos nuevas vulnerabilidades en Internet Explorer, que podrían ser explotadas por personas maliciosas para eludir las características de seguridad del SP2 de Windows XP, y de ese modo engañar al usuario para descargar archivos peligrosos.

1. Microsoft Windows XP SP2 posee una característica de seguridad que advierte al usuario cuando éste intenta descargar ciertos tipos de archivos. El problema es cuando el archivo descargado es enviado con un cabezal HTTP "Content-Location". Si este ha sido maliciosamente modificado, ninguna ventana de alerta es mostrada al usuario cuando el archivo es abierto.

2. Un error cuando se graban algunos documentos utilizando la función "execCommand()" de Javascript, podría ser explotado para engañar la verdadera extensión del archivo en la ventana "Guardar página Web". Para una explotación exitosa se requiere que la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos" esté habilitada (lo está por defecto).

La combinación de ambas vulnerabilidades, puede ser explotada por un sitio Web malicioso para engañar al usuario para que descargue un ejecutable peligroso, enmascarado como un documento HTML.

Las vulnerabilidades han sido confirmadas en sistemas con todos los parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2.

Solución:

Deshabilitar la opción "Secuencias de comandos ActiveX" (Active Scripting), y desmarcar la opción "Ocultar las extensiones de archivos para tipos de archivo conocidos", desde "Mi PC", "Herramientas", "Opciones de carpetas", "Ver".

Para desactivar "Secuencias de comandos ActiveX", y mantener Internet Explorer protegido, recomendamos la configuración sugerida en el siguiente artículo de VSAntivirus:

Configuración personalizada para hacer más seguro el IE

[url]http://www.vsantivirus.com/faq-sitios-confianza.htm[/url]

__________________
Prefiero morir de pie que vivir de rodillas

Puede que nos quiten la vida, pero jamas nos quitaran la libertad