Parche Internet Explorer 5.5 y 6

Esta noticia, publicada por Hispasec nos da la dirección desde donde obtener el parche y los agujeros que tapa.

Microsoft ha publicado un parche para cubrir la vulnerabilidad anunciada recientemente sobre el acceso remoto a las cookies almacenadas en los discos duros de los usuarios. Este parche además cubre tres nuevas vulnerabilidades y todas las vulnerabilidades conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.

El pasado día 12 de noviembre informábamos de una vulnerabilidad existente en los navegadores de Microsoft Internet Explorer 5.5 e Internet Explorer 6.0. Esta vulnerabilidad permitía el acceso remoto a las cookies grabadas en el disco duro de los usuarios, con posibilidad de leer o modificar su contenido.

En su momento Microsoft no había publicado el parche para eliminar esta vulnerabilidad sin embargo se recomendaban una serie de contramedidas para evitar cualquier problema. En la actualidad Microsoft anuncia la publicación del parche necesario para eliminar esta vulnerabilidad. Este nuevo parche puede calificarse de interés ya que no sólo resuelve el problema de las cookies sino que elimina todas las vulnerabilidades conocidas para Internet Explorer 5.5 SP2 e Internet Explorer 6.

Además de suprimir todas las vulnerabilidades que afectan a IE 5.5 Service Pack 2 e IE 6, el parche también elimina tres nuevas vulnerabilidades. Las dos primeras hacen relación a la forma en que IE maneja las cookies entre dominios y se basan en problemas similares a la primera vulnerabilidad original, ya que mediante el uso de una URL especialmente creada un usuario malicioso podrá conseguir acceso a las cookies de los usuarios.

La ultima de las nuevas vulnerabilidades cubiertas sólo afecta a Internet Explorer 6 y es una nueva variante de la anunciada el 11 de octubre y que hace relación a la forma en que Internet Explorer trata las direcciones IP construidas sin los puntos, por ejemplo http://031713501415 en vez de http://207.46.131.13. Este tipo de direcciones recibe el nombre de direcciones de 32 bits. El problema viene dado, porque Explorer no reconoce que la dirección es un sitio de Internet y trata de abrirlo con la configuración de seguridad de la Zona Intranet. Es decir, con menores restricciones de seguridad. Esta actualización puede descargarse aquí.