Asociación de Internautas

El último parche distribuido por Microsoft para Internet Explorer, que cubre 6 nuevas vulnerabilidades, está incompleto ya que no resuelve en su totalidad uno de los problemas. Así al menos lo afirma un informe de GreyMagic Software, compañía israelí que detectó el agujero de la discordia. No se trata de algo aislado, actualmente hay un listado público de 12 vulnerabilidades no corregidas por Microsoft en su navegador.

20-05-2002 - "Microsoft no entendió el problema. Sólo corrigió un síntoma de la vulnerabilidad, no la causa principal". GreyMagic no se queda sólo en palabras, ha publicado un aviso de seguridad con demostración incluida donde se puede comprobar cómo, después de instalar el último parche de Microsoft, aun se pueden leer archivos locales en Internet Explorer 5.01 y 5.5 aprovechando la propiedad cssText del objeto hoja de estilo.

El cúmulo de despropósitos no termina aquí. Thor Larholm, quién mantiene un sitio donde denuncia vulnerabilidades de Internet Explorer no corregidas por Microsoft, ha actualizado su listado después de instalar el último parche. Los resultados son concluyentes, partiendo de 14 vulnerabilidades públicas no corregidas, y tras instalar el parche acumulativo del 15 de mayo, a día de hoy Internet Explorer mantiene 12 agujeros de seguridad.

Más información:

Importante actualización para Internet Explorer

http://www.hispasec.com/unaaldia.asp?id=1299

GreyMagic Security Advisory GM#004-IE

http://sec.greymagic.com/adv/gm004-ie/

Listado de vulnerabilidades no corregidas

http://jscript.dk/unpatched/

Microsoft Patch for IE Flaws Is 'Incomplete'

http://www.eweek.com/article/0,3658,s=712&a=27048,00.asp

Microsoft rapped over 'incomplete' patch

http://www.vnunet.com/News/1131845

MS IE patch misses the mark

http://www.theregister.co.uk/content/55/25326.html

La trastienda del "full disclosure"

http://www.hispasec.com/unaaldia.asp?id=1257

Reproducido de Hispasec