Vulnerabilidad de falsificación de nombre de archivo en IE

Micrososoft ha publicado en su boletín de seguridad MS-01058 (“13 December 2001 Cumulative Patch for IE”) un “parche” acumulativo que corrige todos los problemas se seguridad conocidos hasta la fecha para sus navegadores Internet Explorer 5.5 y 6.0 Además corrige otros tres problemas nuevos.

El tercero de dichos problemas, que afecta a IE 5.x, fue reportado por el Instituto de Seguridad en Internet en Febrero de 2001.

Dicho problema consiste en la posibilidad de presentarle al usuario un nombre de archivo falso durante la descarga del mismo. Cuando se descarga un archivo, el navegador visualiza un mensaje ofreciendo dos opciones: guardar el archivo en disco o ejecutarlo directamente. Puesto que es frecuente elegir la segunda opción cuando se trata de archivos con extensiones supuestamente inofensivas (.gif, .txt, .pdf, .mp3), la vulnerabilidad es grave al permitir presentar al usuario un nombre de archivo falso y teóricamente inocuo, pero que en realidad oculta la existencia de un archivo ejecutable.

Para ver una demostración pulse el enlace:

Lee este documento PDF, parece interesante.

Si usted elige la opción “ejecutar”, comprobará que no se ejecuta el plug-in para leer documentos PDF, sino que se ejecutan una serie de comandos de consola.

Advertencia
Se recomienda a todos los usuarios de Internet Explorer 5.x y 6.0 que instalen el parche acumulativo publicado por Microsoft debido a que protege frente a ésta y otras vulnerabilidades pasadas.

Este aviso ha sido leído en 4158 ocasiones y enviado por correo electrónico 10 veces. Ha sido valorado en 25 ocasiones, con una puntuación global de 4,8 puntos. Se han enviado 2 comentarios.

:: Herramientas ::

Versión para impresora Reciba estos avisos por correo Envíelo a un amigo Inserte un comentario Valore la gravedad de esta vulnerabilidad: Puntuación 5 (muy grave) 4 3 2 1 (muy leve)