1

Tape agujeros críticos en IE y Office

 

Además: una solución para problemas que ocurren cuando se reanuda una sesión a partir de los estados de inactividad y de hibernación.

Ha vuelto a suceder. Los “crackers” recientemente comenzaron a aprovecharse de una vulnerabilidad importante en Internet Explorer antes de que Microsoft pudiera publicar un parche. Estos defectos llamados “de cero días” –en los cuales no pasa más de un día entre la divulgación y los ataques– son cada vez más frecuentes. Y esa es una mala noticia para todos nosotros.

La firma de investigaciones de seguridad Secunia encontró este agujero que afecta virtualmente a todas las versiones del IE, desde la 5.01 a la 6 Service Pack 2. Los avances de la versión beta de IE 7 anteriores a la de marzo 20 de 2006 (ediciones 5335.5 o posteriores) también son vulnerables.

Aunque hasta el momento los ataques contra este defecto han sido esporádicos, no se olvide de bajar esta corrección. El defecto abre las puertas al peligroso ataque de descarga al paso, donde basta con visitar un sitio malicioso de la Web para terminar con virus y programas de espionaje en su computadora, sin siquiera tener que pulsar nada. Sólo ver un banner corrompido pudiera desatar la rutina de ataque.

He aquí como funciona el error: una imagen o sitio preparado con la trampa envía al sistema de la víctima un mando envenenado de JavaScript del tipo “CreateTextRange” que hace al IE perder la noción de dónde están las cosas, lo que deja a IE (y a Windows) desconcertado. Una fracción de segundo más tarde, el programa de ataque se apresura a perpetrar las vilezas que el pirata ha ideado. Independientemente de lo que pase después, usted saldrá perdiendo.

La buena noticia es que una vista preliminar de un mensaje de correo electrónico de Outlook que contenga un vínculo al sitio malicioso no provocará el ataque. Pero la advertencia usual es pertinente en este caso: nunca pulse un vínculo en ningún mensaje que le parezca ligeramente sospechoso.

Microsoft distribuirá un parche por medio de Windows Update para cuando este número salga a la calle. Entretanto, la compañía sugiere una solución provisional (aunque draconiana) de inutilizar o preguntar al usuario sobre todas las secuencias de JavaScript. JavaScript es un tipo de programa que se encuentra en muchas páginas de la Web, y si se inutilizan muchos sitios se mostrarán incorrectamente o incluso le impedirán que se conecte a ellos. Para implementar la solución provisional en IE, pulse Herramientas•Opciones de Internet y seleccione la ficha de Seguridad. Pulse Internet•Personalizar nivel. Bajo Configuración, en la sección de Automatización, desplace la lista hasta Activar automatización, pulse Preguntar o Desactivar y luego seleccione Aceptar.

Dos compañías de seguridad han dado a conocer sus propias soluciones temporales, pero los analistas recomiendan la solución de Microsoft o el uso de un navegador alterno como Firefox y Opera. Microsoft también advierte que no se usen las correcciones parciales de terceros.

Para más detalles, vea las advertencias de Microsoft en www.pcwla.com/buscar/06067101. Cuando esté lista, la corrección se podrá encontrar en www.pcwla.com/buscar/06067102. Por supuesto, todos estos problemas estarán resueltos para el año entrante cuando Microsoft presente su Windows Vista, ¿no es cierto?

Cierre las puertas de su conjunto de Office

Microsoft ha remendado seis –como lo oye, seis– agujeros de seguridad críticos en Microsoft Office. Para los usuarios de Windows, estos agujeros son “críticos” solamente para Office 2000 y meramente “importantes” para las otras versiones, según Microsoft. Para los usuarios de Mac, los que están afectados son Excel 2004 y Excel X, cuyos defectos son calificados como “importantes”.

Los parches para Office 2000 y Outlook 2000, que le dejan a usted expuesto a que alguien tome posesión completa de su PC, son distribuidos automáticamente por medio de Windows Update, como sucede con las versiones más recientes, incluyo Office XP Service Pack 2 y 3. Para otras versiones, o si usted no usa Microsoft Update, consiga el parche apropiado y más información en www.pcwla.com/buscar/06067103

Solución para PC soñolientas

Las PC que dormitan como Rip Van Winkle –las que funcionan con Windows XP Service Pack 2 y que no despiertan del modo de inactividad o de hibernación– ahora tienen una cura: Microsoft ha solucionado un error en la característica de seguridad de “prevención de ejecución de datos” de XP. Como el parche no está relacionado con la seguridad, usted tendrá que bajarlo manualmente desde www.pcwla.com/buscar/06067104

Correcciones de seguridad de Real

RealNetworks ha presentado un parche para varios agujeros críticos de seguridad en RealOne Player 1 y 2, Helix Player 1. x y RealPlayer 8, 10 y 10.5. Las versiones de Windows, Linux y Mac corren el mismo riesgo. Obtenga el parche en find.pcworld.com/52866.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *