"Microsoft no entendió el problema. Sólo corrigió un síntoma de la
vulnerabilidad, no la causa principal". GreyMagic no se queda sólo
en palabras, ha publicado un aviso de seguridad con demostración
incluida donde se puede comprobar cómo, después de instalar el último
parche de Microsoft, aun se pueden leer archivos locales en Internet
Explorer 5.01 y 5.5 aprovechando la propiedad cssText del objeto hoja
de estilo.
El cúmulo de despropósitos no termina aquí. Thor Larholm, quién mantiene un sitio donde denuncia vulnerabilidades de Internet Explorer no corregidas por Microsoft, ha actualizado su listado después de instalar el último parche. Los resultados son concluyentes, partiendo de 14 vulnerabilidades públicas no corregidas, y tras instalar el parche acumulativo del 15 de mayo, a día de hoy Internet Explorer mantiene 12 agujeros de seguridad.
Más información:
Importante actualización para Internet Explorer
http://www.hispasec.com/unaaldia.asp?id=1299
GreyMagic Security Advisory GM#004-IE
http://sec.greymagic.com/adv/gm004-ie/
Listado de vulnerabilidades no corregidas
http://jscript.dk/unpatched/
Microsoft Patch for IE Flaws Is 'Incomplete'
http://www.eweek.com/article/0,3658,s=712&a=27048,00.asp
Microsoft rapped over 'incomplete' patch
http://www.vnunet.com/News/1131845
MS IE patch misses the mark
http://www.theregister.co.uk/content/55/25326.html
La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia.asp?id=1257
Reproducido de Hispasec
El cúmulo de despropósitos no termina aquí. Thor Larholm, quién mantiene un sitio donde denuncia vulnerabilidades de Internet Explorer no corregidas por Microsoft, ha actualizado su listado después de instalar el último parche. Los resultados son concluyentes, partiendo de 14 vulnerabilidades públicas no corregidas, y tras instalar el parche acumulativo del 15 de mayo, a día de hoy Internet Explorer mantiene 12 agujeros de seguridad.
Más información:
Importante actualización para Internet Explorer
http://www.hispasec.com/unaaldia.asp?id=1299
GreyMagic Security Advisory GM#004-IE
http://sec.greymagic.com/adv/gm004-ie/
Listado de vulnerabilidades no corregidas
http://jscript.dk/unpatched/
Microsoft Patch for IE Flaws Is 'Incomplete'
http://www.eweek.com/article/0,3658,s=712&a=27048,00.asp
Microsoft rapped over 'incomplete' patch
http://www.vnunet.com/News/1131845
MS IE patch misses the mark
http://www.theregister.co.uk/content/55/25326.html
La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia.asp?id=1257
Reproducido de Hispasec