Microsoft publica un parche destinado a cubrir seis nuevas y graves vulnerabilidades para Internet Explorer en sus versiones 5.01, 5.5 y 6.0. Además se trata de una actualización acumulativa destinada a evitar todos los problemas conocidos hasta la fecha para dichos productos. Las nuevas vulnerabilidades corregidas son las siguientes:

* Vulnerabilidad de cross-site scripting en un recurso HTML local. Una de las páginas incluidas por defecto con la distribución de IE permite la inyección de código en el contexto de seguridad de la zona local. El atacante podría preparar una página web destinada a explotar esta vulnerabilidad para dejarla en un sitio web o enviarla por email. Cuando el usuario afectado visualice la página web se ejecutará el código preparado por el atacante con el contexto de seguridad de la zona local.


* Vulnerabilidad de divulgación de información relacionada con el tratamiento de scripts dentro de cookies que podrá permitir a un sitio la lectura de las cookies de otro sitio web diferente.


* Una vulnerabilidad de falsificación de zona que puede permitir a una página web que puede hacer que una página web sea tratada de forma incorrecta en el contexto de seguridad de una zona diferente a la que le corresponde.


* Dos variantes de la vulnerabilidad relacionada con la falsificación de formatos de descarga confiables. De forma que si un atacante modifica las cabeceras Content-Disposition y Content-Type podrá lograr que Explorer considere que el archivo a descargar sea de una extensión considerada como no peligrosa cuando en realidad si lo es.


* Finalmente, se introduce un cambio de comportamiento en la zona de Sitios Restringidos. Específicamente se deshabilita el uso de frames en dicha zona.
  • Nota:el parche es aplicable en el Internet Explorer 6 Service Pack 1;¡¡No en sp2!!


Puede descargarse la actualización para corregir esta vulnerabilidad desde:

http://www.microsoft.com/windows/ie/...32/default.asp

Más Información:

Boletín de seguridad Microsoft (MS02-023):
Cumulative Patch for Internet Explorer
http://www.microsoft.com/technet/sec...n/MS02-023.asp