Microsoft Security Bulletin MS03-040 para Windows

Name: Microsoft Security Bulletin MS03-040
Rating: 4.9 (1 reviews)
Author: Microsoft

Por Microsoft
Gratuito
Calificación del usuario

¿Has usado Microsoft Security Bulletin MS03-040 para Windows? Comparte tu experiencia y ayuda a otros usuarios.

Descripción del desarrollador

By Microsoft

Pacto acumulativo para Internet Explorer

Este es un parche acumulativo que incluye la funcionalidad de todos los parches previamente lanzados para Internet Explorer 5.01, 5.5 y 6.0. Además, elimina las siguientes vulnerabilidades recién descubiertas:

Una vulnerabilidad que ocurre porque Internet Explorer no determina correctamente un tipo de objeto devuelto por un servidor Web en una ventana emergente. Podría ser posible que un atacante que explotara esta vulnerabilidad ejecutara código arbitrario en el sistema de un usuario. Si un usuario visitara el sitio web de un atacante, podría ser posible que el atacante explotara esta vulnerabilidad sin ninguna otra acción del usuario. Un atacante también podría crear un correo electrónico basado en HTML que intentara explotar esta vulnerabilidad.
Una vulnerabilidad que ocurre porque Internet Explorer no determina correctamente un tipo de objeto devuelto por un servidor Web durante la vinculación de datos XML. Podría ser posible que un atacante que explotara esta vulnerabilidad ejecutara código arbitrario en el sistema de un usuario. Si un usuario visitara el sitio web de un atacante, podría ser posible que el atacante explotara esta vulnerabilidad sin ninguna otra acción del usuario. Un atacante también podría crear un correo electrónico basado en HTML que intentara explotar esta vulnerabilidad.

Además, se ha realizado un cambio en el método por el cual Internet Explorer maneja los Comportamientos de HTML Dinámico (DHTML) en la Zona Restringida de Internet Explorer. Podría ser posible que un atacante que explotara una vulnerabilidad separada (como una de las dos vulnerabilidades discutidas anteriormente) hiciera que Internet Explorer ejecutara código de script en el contexto de seguridad de la Zona de Internet. Además, un atacante podría utilizar la capacidad de Windows Media Player para abrir URLs para construir un ataque. Un atacante también podría crear un correo electrónico basado en HTML que podría intentar explotar este comportamiento.Para explotar estas fallas, el atacante tendría que crear un correo electrónico basado en HTML especialmente formado y enviarlo al usuario. Alternativamente, un atacante tendría que alojar un sitio web malicioso que contuviera una página web diseñada para explotar estas vulnerabilidades.

Al igual que los parches acumulativos anteriores de Internet Explorer lanzados con los boletines MS03-004, MS03-015, MS03-020 y MS03-032, este parche acumulativo hará que window.showHelp( ) deje de funcionar si no ha aplicado la actualización de Ayuda HTML. Si ha instalado el control de Ayuda HTML actualizado del artículo de la Base de Conocimientos 811630, aún podrá utilizar la funcionalidad de Ayuda HTML después de aplicar este parche.

Además de aplicar este parche de seguridad, se recomienda que los usuarios también instalen la actualización de Windows Media Player mencionada en el Artículo de la Base de Conocimientos 828026. Esta actualización está disponible en Windows Update así como en el Centro de Descargas de Microsoft para todas las versiones soportadas de Windows Media Player. Aunque no es un parche de seguridad, esta actualización contiene un cambio en el comportamiento de la capacidad de Windows Media Player para lanzar URLs para ayudar a proteger contra ataques basados en el comportamiento DHTML. Específicamente, restringe la capacidad de Windows Media Player para lanzar URLs en la zona de la computadora local desde otras zonas.