Por Bernardo Quintero bernardo@hispasec.com El último parche distribuido por Microsoft para Internet Explorer, que cubre 6 nuevas vulnerabilidades, está incompleto ya que no resuelve en su totalidad uno de los problemas. Así al menos lo afirma un informe de GreyMagic Software, compañía israelí que detectó el agujero de la discordia. No se trata de algo aislado, actualmente hay un listado público de 12 vulnerabilidades no corregidas por Microsoft en su navegador. "Microsoft no entendió el problema. Sólo corrigió un síntoma de la vulnerabilidad, no la causa principal". GreyMagic no se queda sólo en palabras, ha publicado un aviso de seguridad con demostración incluida donde se puede comprobar cómo, después de instalar el último parche de Microsoft, aun se pueden leer archivos locales en Internet Explorer 5. 01 y 5.5 aprovechando la propiedad cssText del objeto hoja de estilo. El cúmulo de despropósitos no termina aquí. Thor Larholm, quién mantiene un sitio donde denuncia vulnerabilidades de Internet Explorer no corregidas por Microsoft, ha actualizado su listado después de instalar el último parche. Los resultados son concluyentes, partiendo de 14 vulnerabilidades públicas no corregidas, y tras instalar el parche acumulativo del 15 de mayo, a día de hoy Internet Explorer mantiene 12 agujeros de seguridad. Opina sobre esta noticia: Más información: Importante actualización para Internet Explorer GreyMagic Security Advisory GM#004-IE Listado de vulnerabilidades no corregidas Microsoft Patch for IE Flaws Is 'Incomplete' Microsoft rapped over 'incomplete' patch MS IE patch misses the mark La trastienda del "full disclosure"
|
