Tag Archives: Internet Explorer

Actualización para Internet Explorer

Posted on by

Microsoft publica actualización para Internet Explorer fuera de ciclo

Hoy no es el segundo martes del mes pero Microsoft acaba de publicar el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer.

Si bien la publicación con carácter de urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.

La vulnerabilidad que ha propiciado la publicación del boletín afecta a Internet Explorer 6 y 7. Con el CVE-2010-0806 asignado, se encuentra en “iepeers.dll” y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Ya tratamos anteriormente este problema en una-al-día.

Continue reading

Seguridad en Internet Explorer

Posted on by

ZONAS DE SEGURIDAD

Tener una correcta configuración en Internet Explorer en cuanto a la seguridad es muy importante, vista la gran cantidad de vulnerabilidades que aparecen constantemente, exploits, virus, troyanos, programas spyware, secuestradores, etc.

Es necesario un buen nivel de protección contra mucho código malicioso que anda suelto por la Red.
Las Zonas de Seguridad nos permiten llevar a cabo estas protecciones.
Si abrimos el navegador y nos dirigimos a Herramientas -> Opciones de Internet, veremos una ficha llamada Seguridad.
Si la pulsamos, por defecto, aparecerán 4 zonas distintas de seguridad. Cada zona puede (y debe) ser configurada independientemente:
Zona 1 = Intranet local (sitios Web de la red local).
Zona 2 = Sitios de confianza (aquellos que sabemos que son seguros).
Zona 3 = Internet (todos los sitios que no están en las otras zonas).
Zona 4 = Sitios restringidos (sitios que sabemos que son peligrosos).
Microsoft, a través de un artículo de la KB, nos define cada zona de seguridad y cómo puede ser configurada:
**Cómo utilizar las zonas de seguridad en Internet Explorer

Pero además de estas cuatro zonas, que aparecen por defecto, podemos incluir una quinta zona, la Zona 0, que será la zona local, o sea, nuestro equipo.

La zona Equipo local es una zona implícita para contenido existente en el equipo local.
No se expone en el panel de control de Internet. Sin embargo, los administradores pueden utilizar el Registro de Windows para configurar los valores de la zona Equipo local. Para que aparezca esta nueva zona Mi PC, debemos hacer lo siguiente:

Haz clic en Inicio, y después en Ejecutar. En la casilla Abrir teclea regedit.exe y pulsa Aceptar.
Se abrirá el editor del registro del sistema. Localiza la clave siguiente:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0
 Pulsa sobre la carpeta 0 para abrirla, y en el panel de la derecha, bajo la columna Nombre, haz doble clic sobre el valor Flags.
Se abrirá la ventana Editar valor DWORD.
Allí, en Información del valor (en base ‘Hexadecimal’), cambia el 21 por un 1 y selecciona Aceptar. En la columna Datos debería quedar algo como 0×00000001 (1).
Cierra el editor del registro.

Ahora, si seleccionas las zonas de seguridad en Internet Explorer, deberían aparecer todas las zonas, incluida Mi PC.

Si por algún motivo quisieras hacer que Mi PC volviera a quedar oculto, sólo repite el procedimiento anterior, volviendo a colocar el valor 21 en lugar de 1 en Flags.

Para aclarar un poco la diferencia entre el Nivel predeterminado y el Nivel personalizado de las zonas de seguridad, podemos echar mano de este artículo: **Descripción de los cambios realizados en la configuración de seguridad de las zonas de contenido Web en Internet Explorer 6

DESHABILITANDO ACTIVE SCRIPTING

Volviendo al principio, para obtener un nivel aceptable de protección en cada zona de seguridad, podemos deshabilitar Active Scripting:

  1. En Outlook Express: ve a Herramientas > Opciones… > Seguridad. En el apartado Protección antivirus activa la casilla Zona de sitios restringidos (más segura).
    De esta forma se deshabilitan scripts y controles activeX en mensajes de correo electrónico. Para una mayor seguridad antivirus, puede activarse también la casilla No permitir que se guarden o abran archivos adjuntos que puedan contener virus.
  2. En Internet Explorer: ve a Herramientas -> Opciones de Internet -> Seguridad > Zona de Confianza. Selecciona nivel Mediano (Media) o pulsa en Personalizar nivel y selecciona Restablecer configuración personal a Mediano (Media).
    Pulsa en el botón Restablecer y confirma el cambio.
    Pulsa en Aceptar.
    Seguidamente, pulsa en Sitios para agregar aquellas direcciones que son, o consideramos, seguras. Es importante añadir las siguientes, especialmente si utilizamos cuentas de Hotmail:http://oe.msn.msnmail.hotmail.com
    http://windowsupdate.microsoft.com
    http://v5.windowsupdate.microsoft.com
    http://support.microsoft.com
    http://www.microsoft.com
    http://services.msn.com
    http://login.passport.net
    http://login.passport.comSelecciona ahora la zona Internet.
    Pulsa en Nivel Predeterminado y en Personalizar nivel.
    Busca en la lista de Configuración, Automatización y activa la opción Desactivar bajo Secuencias de comandos ActiveX.
    Pulsa Aceptar y confirma el cambio.

Con esta configuración en la zona de Internet, los controles y complementos activeX, así como los scripts (muchos de ellos malignos) no se podrán ejecutar en nuestro sistema. Algunos sitios no podrán ser visibles porque necesitan de estos controles. Si sabemos que uno de esos sitios es seguro, podemos incluirlo en la zona de Confianza.

Y para la nueva zona que hemos creado, la Zona 0 Mi PC, los administradores también pueden reforzar la configuración de seguridad, mediante ajustes en el registro de Windows.
Ahora bien, se recomienda que estos cambios se lleven a cabo como un último recurso, ya que se puede perder alguna funcionalidad para algunos programas de Windows y componentes.
En este artículo tenemos más información sobre la Zona 0:
**Cómo reforzar la configuración de seguridad para la zona Equipo local en Internet Explorer

COPIA DE SEGURIDAD DE LA CONFIGURACIÓN ESTABLECIDA

Una vez hayamos establecido la configuración deseada de las diferentes zonas de seguridad de Internet Explorer, podemos crearnos unas copias de seguridad de las mismas (backups), si vamos a migrar a un nuevo sistema con una instalación limpia del sistema operativo. La información sobre las zonas de seguridad quedan almacenadas en el registro de Windows. Para ello iniciaremos el editor del registro (regedit.exe) y localizaremos la clave siguiente: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
En la clave Internet Settings, nos interesan tres subclaves que son las que tendremos que copiar:

  • TemplatePolicies
  • ZoneMap
  • Zones

Seleccionando cada una de ellas, elegiremos, mediante el botón secundario del ratón y el menú contextual, la opción Exportar. Podemos exportarlas con su nombre (TemplatePolicies.reg, ZoneMap.reg y Zones.reg) a una ubicación segura (CD o disquete).
Para restaurar las configuraciones de seguridad en un Internet Explorer nuevo, simplemente haremos doble clic sobre los archivos .reg.

La clave TemplatePolicies determina las configuraciones de los niveles predeterminados de zona de seguridad Baja, Media Baja, Media y Alta.

La clave ZoneMap incluye la configuración específica, conteniendo dominios, protocolos y direcciones TCP/IP que se han agregado.

La clave Zones contiene las claves que representan cada zona de seguridad definida por el equipo, que son las 5 zonas de las que hemos hablado en este artículo.

Parche acumulativo para Microsoft Internet Explorer

Posted on by

Dentro del conjunto de boletines de diciembre publicado esta semana por Microsoft y del que efectuamos un adelanto el pasado martes, se cuenta el anuncio (en el boletín MS06-072) de una actualización acumulativa para Internet Explorer, que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

Las vulnerabilidades corregidas son las siguientes:

* Una corrupción de memoria a la hora de manejar scripts puede llevar a la ejecución de código arbitrario.

* Una corrupción de memoria a la hora de manejar scripts DHTML puede llevar a la ejecución de código arbitrario.

* Dos problemas de revelación de información sensible a través de la carpeta TIF.

Este boletín reemplaza al boletín previo MS06-067. No afecta a Internet Explorer 7.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Internet Explorer 5.01 Service Pack 4 bajo Windows 2000Service Pack 4

* Microsoft Internet Explorer 6 Service Pack 1 instalado en Windows2000 Service Pack 4

* Microsoft Internet Explorer 6 para Windows XP Service Pack 2

* Microsoft Internet Explorer 6 para Windows XP Professional x64 Edition

* Microsoft Internet Explorer 6 para Windows Server 2003 y MicrosoftWindows Server 2003 Service Pack 1

* Microsoft Internet Explorer 6 para Windows Server 2003 bajoItanium-based Systems y Windows Server 2003 con SP1 bajo Itanium-based
Systems

Más información:

Microsoft Security Bulletin MS06-072Cumulative Security Update for Internet Explorer (925454)
Fuente: Hispasec.com