• Portada
    • Recientes
    • Usuarios
    • Registrarse
    • Conectarse

    Boquete de seguridad muy grabe en IE

    Programado Fijo Cerrado Movido
    Software
    11
    30
    2.3k
    Cargando más mensajes
    • Más antiguo a más nuevo
    • Más nuevo a más antiguo
    • Mayor número de Votos
    Responder
    • Responder como tema
    Accede para responder
    Este tema ha sido borrado. Solo los usuarios que tengan privilegios de administración de temas pueden verlo.
    • P
      pakohuelva
      Última edición por

      Si el parche que viene ahi es este: http://www.microsoft.com/library/shared/deeptree/bot/bot.asp?dtcnfg=/technet/treeview/deeptreeconfig.xml que no lo se porque no puedo acceder a la pagina pone elotrolado, os tengo que decir que no funciona.

      He instalado el parche este que he enlazado y tras comprobar los enlaces de johnyQ me sigue pasando lo mismo. No he reiniciado pero tampoco me lo pide, puede que sea eso.

      1 Respuesta Última respuesta Responder Citar 0
      • L
        lerd
        Última edición por

        Hola, siguiendo el enlace de elotrolado.net he llegado a este parche:

        http://download.microsoft.com/download/7/b/a/7ba0fe51-1a63-4d03-b95c-2bbd22058987/WindowsXP-KB824146-x86-ESN.exe

        Ojo, a mí si me ha pedido reiniciar pero sigue sin funcionar, me falla en los 3 ejemplos de la página. Decidido, estoy harto de actualizaciones, voy a bajarme el mozilla.

        Un saludo.

        1 Respuesta Última respuesta Responder Citar 0
        • PipelineP
          Pipeline
          Última edición por

          Este ordenador tiene instalado el norton antivirus, y antes de ejecutar te salta dandote un aviso, a falta de pan, buenas son tortas.. :rolleyes:

          1 Respuesta Última respuesta Responder Citar 0
          • packosoftP
            packosoft Admin honoris causa
            Última edición por

            Amos a ver, que no todo el monte es oregano y no solo el ie tiene bugs.

            copypasteo:

            Por Xavier Caballé xavi@hispasec.com
            Hispasec - www.hispasec.com
            (17/11/2002)

            Durante estos últimos días se han anunciado diversas vulnerabilidades de
            seguridad en Mozilla, así como cualquier otro producto basado en el mismo.

            Mozilla es un entorno de código abierto, de gran calidad, nacido a partir de
            una iniciativa de Netscape. Su mayor exponente es el propio Mozilla, el
            navegador web sobre el que se basa Netscape 6.x así como el reciente
            Netscape 7.0. Pero también hay muchos otros productos que se basan en
            Mozilla, tales como otros navegadores, entornos de desarrollo, sistemas de
            navegación…

            Durante los últimos días se han anunciado la existencia de diversas
            vulnerabilidades que, básicamente afectan a las versiones de Mozilla
            anteriores a la 1.0.1.

            a.. Corrupción de memoria al procesar archivos GIF con el atributo WIDTH
            del tag fijado en 0.

            Un atacante remoto puede provocar un desbordamiento de buffer cuando en una
            página HTML se incluyen diversas marcas con el atributo WIDTH fijado
            en 0. Aunque no se ha verificado, es posible que esta vulnerabilidad permita
            a un atacante remoto ejecutar código, con los privilegios del usuario que
            utiliza Mozilla.

            Existe una prueba de concepto de esta vulnerabilidad en
            http://crash.ihug.co.nz/~Sneuro/zerogif/

            Esta vulnerabilidad está presente en todas las versiones de Mozilla
            anteriores a la 1.1, en las diferentes plataformas. También afecta a
            Netscape 6.2.x así como al Opera 5.x y 6.x para Linux.

            2.. El evento "onUnload" de JavaScript puede revelar información sobre las
            páginas web que se visitan.

            Un error en la implementación del evento "onUnload" puede permitir a un
            webmaster conocer a que páginas acceden los usuarios en el momento de
            abandonar su sede web.

            Existe una prueba de concepto de esta vulnerabilidad en
            http://members.ping.de/~sven/mozbug/refcook.html

            Esta vulnerabilidad afecta a todas las versiones de Mozilla existentes hasta
            la fecha, incluyendo a Mozilla 1.1.

            3.. En determinadas circunstancias, cuando se utiliza document.open() como
            acción a realizar de un formulario, puede producirse un desbordamiento de
            buffer, que provocará la finalización inesperada de Mozilla.

            Existe una prueba de concepto de esta vulnerabilidad en
            http://bugzilla.mozilla.org/attachment.cgi?id=91590&action=view

            Esta vulnerabilidad afecta a las versiones de Mozilla anteriores a la 1.0.1.

            4.. Como consecuencia de un error en la implementación de la función
            onkeypress cuando debe procesar la barra espaciadora. Esto puede ser
            utilizado para instalar, sin conocimiento ni autorización por parte del
            usuario, un paquete XPI.

            Esta vulnerabilidad afecta a las versiones de Mozilla anteriores a la 1.0.1.

            5.. En circunstancias concretas, Mozilla no informa correctamente al
            usuario del cambio del nivel de seguridad cuando se produce una redirección
            desde una página ubicada en un servidor seguro (HTTPS) a un servidor
            estándar (HTTP).

            Esta vulnerabilidad afecta a todas las versiones de Mozilla anteriores a la
            1.0.1.

            6.. El objeto XMLSerializer, que forma parte del paquete XMLExtras, no
            realiza ninguna comprobación del origen de los parámetros, de forma que un
            objeto invocada puede acceder a las propiedades de otro dominio cargado en
            un frame o iframe separado.

            Existe una prueba de concepto de esta vulnerabilidad en
            http://www3.sympatico.ca/ndeakin/test/sectest.html

            Esta vulnerabilidad afecta a todas las versiones de Mozilla anteriores a la
            1.0.1.

            a.. Más información

            Know vulnerabilities in Mozilla
            http://www.mozilla.org/projects/security/known-vulnerabilities.html

            Mozilla riddled with security holes
            http://online.securityfocus.com/news/1575

            Mozilla: Hit bug on head, win lizard
            http://news.com.com/2100-1023-964663.html

            Mozilla: The Good and The Bad
            http://slashdot.org/article.pl?sid=02/11/06/189211

            Mozilla Browser Zero Width GIF Image Memory Corruption
            http://online.securityfocus.com/bid/5665

            http://bugzilla.mozilla.org/show_bug.cgi?id=157989

            Mozilla OnUnload Referer Information Leakage Vulnerability
            http://online.securityfocus.com/bid/5694

            http://bugzilla.mozilla.org/show_bug.cgi?id=145579

            Mozilla Browser HTTP/HTTPS Redirection Weakness
            http://online.securityfocus.com/bid/5757

            Mozilla document.open() Memory Corruption Denial of Service Vulnerability
            http://online.securityfocus.com/bid/5759

            Mozilla Space Key XPI Installation Vulnerability
            http://online.securityfocus.com/bid/5762

            Mozilla XMLSerializer Same Origin Policy Violation Vulnerability
            http://online.securityfocus.com/bid/5766

            Mozilla vulnerabilities, an update
            http://online.securityfocus.com/archive/1/292362

            Mozilla riddled with security holes
            http://www.theregister.co.uk/content/55/27934.html

            Netscape/Mozilla: Exploitable heap corruption via jar :URI handler
            http://online.securityfocus.com/archive/1/299837/2002-11-12/2002-11-18/0

            Updated Mozilla packages fix security vulnerabilites
            http://online.securityfocus.com/archive/1/296141

            Updated Mozilla packages fix security vulnerabilites
            http://online.securityfocus.com/advisories/4580

            Vulnerabilidad de seguridad en Mozilla y proyectos derivados
            http://www.hispasec.com/unaaldia.asp?id=1431

            Fin….........................................

            Salu2
            Packo

            1 Respuesta Última respuesta Responder Citar 0
            • P
              pakohuelva
              Última edición por

              No se trata de que IE sea una mierda y los demas muy buenos de igual forma que no es que Windows sea malisimo.

              De lo que se trata es de probablidad. Como windows y IE estan en el 90% de los equipos hay un 90% de posibilidades de encontrar fallos.

              En el momento en el que el uso de todos los sistemas se iguales sera mas facil encontrar fallos en el resto.

              1 Respuesta Última respuesta Responder Citar 0
              • packosoftP
                packosoft Admin honoris causa
                Última edición por

                a eso es a lo que yo me refería, que TODOS los softwares tienen fallos, y obviamente es más probable que se detecten fallos al ie que al opera (p.ej)

                Salu2
                Packo

                1 Respuesta Última respuesta Responder Citar 0
                • P
                  pakohuelva
                  Última edición por

                  Parece ser que estos problemas se han solucionado con el ultimo parche de seguridad de M$ aparecido ayer.

                  1 Respuesta Última respuesta Responder Citar 0
                  • josefuJ
                    josefu
                    Última edición por

                    Amos a ver, que no todo el monte es oregano y no solo el ie tiene bugs.

                    copypasteo:

                    Por Xavier Caballé xavi@hispasec.com
                    Hispasec - www.hispasec.com
                    (17/11/2002)

                    –------------------------

                    Durante los últimos días se han anunciado la existencia de diversas
                    vulnerabilidades que, básicamente afectan a las versiones de Mozilla
                    anteriores a la 1.0.1.

                    1 Respuesta Última respuesta Responder Citar 0
                    • P
                      pakohuelva
                      Última edición por

                      ¿Y eso qeu quiere decir?.

                      1 Respuesta Última respuesta Responder Citar 0
                      • josefuJ
                        josefu
                        Última edición por

                        Nada

                        1 Respuesta Última respuesta Responder Citar 0
                        • HinH
                          Hin
                          Última edición por

                          Pues a mi en cuanto entre en los links esos me salto la aplicación a la q afecta la vulnerabilidad… asi q la he bloqueado por si las moscas :sisi: Imagino q si el parche no funciona pues esto controlara el acceso a ese .exe

                          Un Saludo

                          hlbm signature

                          hlbm signature

                          hlbm signature

                          1 Respuesta Última respuesta Responder Citar 0
                          • P
                            pakohuelva
                            Última edición por

                            A mi si me funciona, ahora me sale una ventana diciendome que si quiero descargarme los archivos mientras que antes directamente me hacia la gracia.

                            1 Respuesta Última respuesta Responder Citar 0
                            • L
                              latecas
                              Última edición por

                              Publicado originalmente por pakohuelva
                              **No se trata de que IE sea una mierda y los demas muy buenos de igual forma que no es que Windows sea malisimo.

                              De lo que se trata es de probablidad. Como windows y IE estan en el 90% de los equipos hay un 90% de posibilidades de encontrar fallos.

                              En el momento en el que el uso de todos los sistemas se iguales sera mas facil encontrar fallos en el resto.**

                              Lo que puede ocurrir, y de hecho ocurre, es que los bug de los IE/Windows, están más "protegidos" al ser más buscados, por esa misma regla de tres que comentas, y los parches se ponen a disposicion rapidamente, cosa que no ocurre en otros sistemas, incluidos los que más seguros consideréis, y mira que duele decir esto., pero así es.
                              ¿Que sistema es más seguro?, al que más vulnerabilidades se le busca y se le ponen "cienes y cienes" de parches y vacunas, o el que, buscándoe menos bug, igualmente se publican menos parches y vacunas y casi siempre a destiempo.

                              PD. A mí también me funciona el parche.

                              1 Respuesta Última respuesta Responder Citar 0
                              • P
                                pakohuelva
                                Última edición por

                                No te entiendo, ¿estas diciendo que Ie es mas o menos seguro?

                                1 Respuesta Última respuesta Responder Citar 0
                                • PperezuP
                                  Pperezu
                                  Última edición por

                                  Te está diciendo que no está claro que es más seguro…

                                  Un sistema usado por el 90% de los usuarios, es más atacado, pero también más parcheado y con relativa celeridad. Se le encuentran los bugs y se reparan mal que bien. Es fácil saber que en un momento dado estás expuesto a algo, y que en otro momento lo han reparado.

                                  Un sistema usado por el 1% de los usuarios, es menos atacado, pero también menos parcheado y no se sabe cuando. Tiene seguramente un número de bugs parecido, pero no son detectados con tanta celeridad. Es dificil saber si estás expuesto a algo, y en que momento se repararán los problemas.

                                  Así que yo también tengo mis dudas...

                                  1 Respuesta Última respuesta Responder Citar 0
                                  • L
                                    latecas
                                    Última edición por

                                    Pues ni más ni menos seguro que los demás, simplemente, como ya se ha dicho, no hay sistema infalible, y la diferencia la marcan el volumen de usuarios que es directamente proporcional a la busqueda de bug de dicho sistema (como tú has explicado).
                                    Por eso, y en mi humilde opinion, uso IE, sólo porque sé que el el que más atacan, y en consecuencia el que más rápido corrigen. El día que los demás corrigan sus agujeros al ritmo que los de IE, pues usaré los demás.
                                    Ya se que esto no es lo que más vende, pero esque ando un poquito mosca cada vez que se argumenta que no se use esto o lo otro, pero sin ofrecer ni soluciones ni asegurar infalibilidades.

                                    1 Respuesta Última respuesta Responder Citar 0
                                    • L
                                      latecas
                                      Última edición por

                                      Sastamente Pperezu,
                                      PD. has respondido mientras escribia mi post.

                                      1 Respuesta Última respuesta Responder Citar 0
                                      • P
                                        pakohuelva
                                        Última edición por

                                        sin embargo estais supuniendo varias cosas erroneas.

                                        La primera es que IE o windows en general se corrige mas rapido que otro, esto no es cierto. Si os fijais este problema aparecio entorno al dia 10 de Septiembre, un poco antes en algunos sitios y su solucion aparecio el dia 4 de Octubre y eso lo se seguro porque lo aplique tan pronto como aparecio, visito el update diariamente. Como veis pasaron 25 dias entre la publicacion del problema totalmenet documentado y la publicacion de una solucion. Teniendo en cuenta la gravedad del problema no me parece un tiempo de respuesta rapido, algo razonable podrian haber sido 3 ó 4 dias, teniendo en cuenta, ademas, que el fallo ya habia sido reportado con bastante anterioridad.

                                        La segunda es que la seguridad de un sistema no es directamente proporcional al numero de usuarios que lo usan, aunque desde luego inluye. Por otro lado no debeis olvidar que la comunidad de desarrolladores Linux es increiblemente superior a la de M$ con lo que las posibilidades de encontrar una solucion a un problema entre 100 o 10000 programadores sera mas rapida en el segundo caso.

                                        Yo puedo defender el sistema operativo que me parece razonablemente seguro para la masa de usuarios que tiene, pero no asi el IE porque es deficiente en seguridad en su propio diseño puesto que permite ejecutar una serie de codigos que por defecto no deberia hacer, es como el Outlook.

                                        1 Respuesta Última respuesta Responder Citar 0
                                        • L
                                          latecas
                                          Última edición por

                                          No si probablemente puedas tener razón, pero yo sigo teniendo dudas al respecto.
                                          En cuanto a IE, no se trata de defenderlo, sino argumentar que ni es tan malo, ni los demás son la panacea. Por supuesto que IE tiene mucho que desear, pero quizá nos olvidamos que el problema fundamental del explorer es su diseño, o sea el concepto que Ms le ha imprimido y lo que quiere de él.
                                          Claro que permitirle realizar ciertas funciones o interactuar con ciertos lenguajes de progamación conlleva riesgos (inevitables por otra parte), pero es que se ha diseñado así, para que funcione con todo eso, y además es lo que la mayoría de los usuarios quieren (flash, exploits, multimedia…. etc, y todo integrado en un navegador).
                                          Podemos crear un navegador en formato texto exclusivamente, que indudablemente va a ser menos vulnerable, pero va a gustar?

                                          Y por otro lado, la mayoría de los usuarios de los problemas de seguridad pasan. Otro, cada vez mayor porcentaje se obsesiona con eso de la seguridad, hackers y demás palabros tan bonitos (la mayoría de las veces por desconocimiento y/o información erroneao inexacta recibida), y el resto, lo que llamaré usuarios avanzados, pues eso, sabemos que el problema está ahí, y sencillamente convivimos con él, capoteándolo según podamos o nos dejen.

                                          Ojo, que lo que digo del IE no tiene nada que ver con lo que llamamos "el estandar", que alguno saldrá con que si tal o cual mozila, permite esto o lo otro.

                                          1 Respuesta Última respuesta Responder Citar 0
                                          • P
                                            pakohuelva
                                            Última edición por

                                            Yo lo tengo muy claro en todo, uso el producto que mejor me va.

                                            Yo uso opera porque es mas rapido, mas atractivo y mas comodo de manejar. A esto le añado que es menos inseguro. Es que pasar de IE a opera es toda una experiencia y lo mas recomendable que uno puede hacer. Ver como la misma web tarda hasta 3 veces mas con IE, estar todo el tiempo informado del tamaño real del documento y la parte descargada, poder usar varias ventanas en el mismo entorno, integracion con google u otros buscadores, etc.

                                            Es que es sencillamente mejor.

                                            Mozilla y cia yo considero que tienen el mismo nivel mas o menos pero no los usuo por interface basicamente, constumbre del opera.

                                            Luego no uso IE porque hay productos mucho mejores y, ademas mas seguros.

                                            Pero yo no me obsesiono con la seguridad, algo que muchos usuarios olvidan es que siempre hay que buscar una realicon seguridad/precio y no ncesarariamente el economico. Si uno no tiene nada suceptible de ser protegido pues tampoc hay que partirse los cuernos en hacer, aunque un firewall por lo menos no estaria mal.

                                            Y lo de la seguridad, pues siempre lo he dicho, si unimos la inseguridad que pueden tener los productos M$ por la razon que sea a la dejadez de los usuarios que no actualizan pues pasa lo que pasa, despues culpar solamente a M$ no es justo porque si tu tienes un parche y no actualizas no es culpa suya.

                                            1 Respuesta Última respuesta Responder Citar 0
                                            • 1
                                            • 2
                                            • 1 / 2
                                            • First post
                                              Last post

                                            Foreros conectados [Conectados hoy]

                                            0 usuarios activos (0 miembros e 0 invitados).
                                            febesin, pAtO,

                                            Estadísticas de Hardlimit

                                            Los hardlimitianos han creado un total de 543.3k posts en 62.8k hilos.
                                            Somos un total de 34.8k miembros registrados.
                                            seaofink ha sido nuestro último fichaje.