Microsoft aconseja no presionar F1 en Windows XP, Vulnerabilidad 0-Day en Internet Explorer

Microsoft ha advertido a los usuarios de Windows XP que no presionen la tecla F1 cuando se les incite a ello a través de un sitio Web. Esta advertencia forma parte de la reacción de la compañía a una vulnerabilidad aún NO parcheada que podría ser aprovechada por los hackers para secuestrar los PC que corran Internet Explorer (IE).

Ayer tarde, en un aviso de seguridad (Microsoft Security Advosory Notification), Microsoft confirmó la existencia de esta brecha no parcheada en VBScript, descubierta por el investigador polaco Maurycy Prodeus. En el aviso, la compañía ofrecía información adicional sobre la brecha y daba algún consejo sobre la forma de proteger los PC hasta la disponibilidad del parche oficial para cubrirla.

“La vulnerabilidad se encuentra en la manera en que VBScript interactúa con los archivos Windows Help utilizando Internet Explorer”, explica el fabricante. “Si un sitio web malicioso desplegara una caja de diálogo especialmente manipulada y el usuario presionara la tecla F1, podría ejecutarse código arbitrario en el contexto de seguridad del usuario autenticado en ese momento”.

El fallo afecta a Windows 2000, Windows XP y Windows Server 2003, y a todas las versiones soportadas de IE sobre tales sistemas operativos –incluidas IE6 sobre XP-, según Microsoft. Previamente, Prodeus había dicho que los usuarios que estuvieran corriendo IE7 e IE8 estaban en peligro, pero no había mencionado IE6.

Desde Microsoft comentan que están investigando el problema y proporcionarán más información sobre este fallo de seguridad cuando finalice la investigación.

MAS REFERENCIAS blog de technet

fuente: csospain.es | microsoft.com



Microsoft advierte sobre la vulnerabilidad 0-day en Internet Explorer

Microsoft ha publicado un aviso de seguridad relacionado con la vulnerabilidad en Internet Explorer que puede permitir la ejecución remota de código, el aviso de seguridad tiene la referencia 979352, al que también han apodado como “Ciberataque chino” o “Ataque a Google”.

La vulnerabilidad se debe a una referencia de puntero no válida en Internet Explorer, que en determinadas condiciones se puede obtener acceso a una referencia de puntero no válida después de haberse eliminado un objeto, y que podría causar que Internet Explorer permita la ejecución remota de código, con lo que podrían conseguir el control de tu sistema.

Desde Microsoft recomiendan fijar al máximo el nivel de seguridad de Internet Explorer 8, para ello tenéis que ir al menú Herramientas/Opciones de Internet/Seguridad y seleccionar nivel máximo de seguridad. Y para aquellos que no dispongan de Internet Explorer 8 les recomiendan que se actualicen a dicha versión que se puede descargar gratuitamente desde la página principal de Internet Explorer 8.

Desde Microsoft ya están trabajando en una actualización de seguridad para Internet Explorer que protegerá a todas las versiones del navegador empezando desde la versión 6.

Por lo que recuerda que para estar seguro tienes que actualizarte a Internet Explorer 8 y activar el nivel máximo de seguridad, por lo menos hasta que publiquen el parche que soluciona está vulnerabilidad.

Documento informativo sobre seguridad de Microsoft (979352)
Aviso de seguridad: Recomendamos usar Internet Explorer 8 con máximo nivel de protección.

fuente: websecurity.es

Fallos en IE8 vuelven inseguras algunas webs

El error se encuentra curiosamente en una protección añadida por los programadores de Microsoft al navegador

La última versión de Internet Explorer incorpora un fallo a través del cual se puede realizar un ataque serio contra un sitio web que se consideraría seguro. La vulnerabilidad podrían permitir la ejecución de ataques XSS, o cross-site scripting y, según afirman en Securityfocus, Microsoft tiene conocimiento de ello desde hace unos meses.

Curiosamente el fallo reside en una protección añadida por los desarrolladores de Microsoft a Internet Explorer 8 que está diseñada para impedir ataques XXS contra páginas web. Esta características funciona reescribiendo páginas vulnerables utilizando una técnica conocida como ‘output encoding’ que reemplaza los caracteres y valores dañinos por unos buenos.

No está claro cómo la protección puede causar vulnerabilidades en sitios web que de otra forma serían seguros. Hay quien especula que IE8 reescribiría las páginas de manera que los nuevos valores desencadenaran un ataque en un sitio limpio.

Los ataques XXS son una manera de manipular las URL para inyectar código o contenido malicioso en una página web segura.

fuente: itespresso.es


VULNERABILIDAD. Internet Explorer Unspecified Remote Code Execution Vulnerability

Internet Explorer is prone to an unspecified remote code-execution vulnerability.

This issue was demonstrated at the CanSecWest 2009 conference. Technical details are not yet available; we will update this BID as more information emerges.

Attackers can exploit this issue to execute arbitrary code in the context of the user running the browser. Successful exploits will compromise the application and possibly the computer. Failed attacks will cause denial-of-service conditions.

Published:       Mar 19 2009 12:00AM
Updated:     Mar 19 2009 04:26PM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com

ie81

Próximo lanzamiento de IE8

Con toda probabilidad el lanzamiento oficial se producirá durante la celebración de Mix 09, evento de la compañía específicamente dirigido al entorno web que se celebrará en Las Vegas (EEUU) del 18 al 20 de marzo

Microsoft ya tiene todo listo para la nueva puesta de largo de la próxima versión de su navegador para internet, Internet Explorer 8. Durante los meses que ha durado el desarrollo del producto se ha ido conociendo, una a una, las distintas características que se incluirán en el nuevo navegador, quien tendrá más difícil que nunca competir con la competencia actual (tanto Firefox, en su época más fuerte como Chrome, la alternativa desarrollada por Google).

Aunque ha habido varias especulaciones sobre cuándo podría lanzar Microsoft el nuevo navegador, todo apunta a que el próximo día 18 de marzo será el escogido por la compañía para dar el pistoletazo de salida a su nuevo producto.

Aunque Internet Explorer 8 cuenta con bastantes novedades con respecto a la versión actual, a grandes rasgos, las principales características son los aceleradores, que son pequeños fragmentos de código que generan acceso directo distintos servicios. Los aceleradores aparecen en el menú contextual de una página y permiten, por ejemplo, localizar una dirección en los mapas, buscar el significado de una palabra, o traducirla en diferentes idiomas.

Por otra parte contamos con la característica de la navegación privada, que nos permite navegar por las páginas sin dejar ningún rastro ni historial. Esta ventaja nos permitirá realizar compras online, acceder a los servicios de banca electrónica o rellenar información confidencial sin que alguien pueda, posteriormente, acceder a los datos personales.

Además de esto, los Web Slices actúan como piezas de software que monitorizan constantemente  los cambios en determinadas páginas o servicios, de tal forma que estemos constantemente informados cuando algún cambio ocurra en ella. Un claro ejemplo de Web Slice sería un seguimiento a una puja online, o la contestación a una pregunta de un foro.

Junto a esto, Internet Explorer 8 también ha trabajado en simplificar la búsqueda de información, de tal forma que podamos introducir parámetros de búsqueda incluso en la barra de búsquedas instantáneas y obtengamos los registros más relevantes de forma automática.

Por último, desde el punto de vista de la seguridad, Microsoft ha desarrollado un nuevo filtro, denominado SmartScreen, que permite contrastar las direcciones que visitamos con URLs previamente etiquetadas por Microsoft como peligrosas (por contener malware, phishing o virus, entre otros). De esta forma los usuarios permanecen constantemente informados de que los lugares que visitan son los que realmente quiere ver.

fuente: idg.es

ie8

Internet Explorer 8 RC1 liberado y más seguridad sobre el mismo

Desde que el pasado enero se liberó Internet Explorer 8 Release Candidate 1, un paso más cerca de la versión final a ser liberada en los próximos meses. Desde hoy esta disponible en 25 idiomas la versión RC1 pueden obtenerla en www.ie8entuidioma.com

Este Release Candidate es la versión completa de la plataforma final, por ende, la versión final tendrá la funcionalidad de la versión recién liberada.

Hay características nuevas en esta versión con cambios basados en la retroalimentación de Uds. los beta testers. Hace ya algún tiempo escribí un artículo sobre la Seguridad en Internet Explorer 8 pero han habido algunos cambios relevantes que paso a detallar como comentamos en el siguiente enlace.

MÁS INFORMACION

fuente: linacre

 ie8_logo

Los Top 10 cambios en la seguridad de Windows 7

Les dejo un documento que hace referencia a los 10 cambios mas relevantes referentes a la Seguridad que traera Windows 7.

1: Action Center
2: Changes to UAC
3: Better BitLocker
4: DirectAccess
5: Biometric security
6: AppLocker
7: Windows Filtering Platform (WFP)
8: PowerShell v2
9: DNSSec
10: Internet Explorer 8

ENLACE

fuente: techrepublic.com

windows_7