MS01-055: Los datos de cookies de Internet Explorer se pueden exponer o modificar mediante la inyección de secuencias de comandos

Seleccione idioma Seleccione idioma
Id. de artículo: 312461 - Ver los productos a los que se aplica este artículo
Este artículo se publicó anteriormente con el número E312461
Expandir todo | Contraer todo

En esta página

Síntomas

Existe una vulnerabilidad potencial de la seguridad en las versiones 5.5 y 6 de Internet Explorer que puede permitir a usuarios malintencionados crear una página URL que habilita a un sitio Web para obtener acceso no autorizado a las cookies almacenadas en el equipo y, por tanto, modificar (posiblemente) los valores contenidos en ellas. Como algunos sitios Web utilizan las cookies almacenadas en el equipo para guardar información confidencial, también es posible que quedara expuesta información personal.

La explotación malintencionada de esta vulnerabilidad requeriría que un usuario eligiera hacer clic en un vínculo a una dirección URL en una página que un agresor haya alojado en su sitio o hacer clic en un vínculo a una dirección URL que esté incrustada en un mensaje de correo electrónico HTML que el agresor ha enviado. No se puede invocar automáticamente sin la interacción del usuario.

Factores atenuantes

  • En primer lugar es necesario convencer a un usuario de que visite un sitio Web malintencionado o de que abra un mensaje de correo HTML que contiene la dirección URL mal formulada. El usuario tendría que elegir entonces hacer clic en un vínculo a una dirección URL especialmente formulada.
  • Los usuarios que hayan aplicado la actualización de seguridad para el correo electrónico de Microsoft Outlook no se verán afectados por la explotación de esta vulnerabilidad mediante el correo electrónico HTML.
  • Los usuarios que hayan configurado Outlook Express para utilizar la zona Sitios restringidos no se verán afectados por la explotación de esta vulnerabilidad mediante el correo electrónico HTML. Observe que ésta es la configuración predeterminada de Microsoft Outlook Express 6.

Solución

Esta revisión requiere que los dominios que utilizan cookies TENGAN sólo caracteres alfanuméricos (y '-' o '.') en el nombre de dominio. De lo contrario, puede que las cookies no funcionen correctamente.

Internet Explorer 6

Actualmente existe una revisión compatible en Microsoft, pero sólo está diseñada para corregir el problema descrito en este artículo y, por tanto, sólo debe aplicarse en sistemas que corran el riesgo de sufrir un ataque. Evalúe la accesibilidad física del equipo, la red y la conectividad a Internet, así como otros factores para determinar el grado de riesgo del equipo. Consulte el boletín de seguridad de Microsoft asociado Microsoft Security Bulletin como ayuda para decidir esto. Es probable que posteriormente se realicen pruebas adicionales de esta revisión para asegurar la calidad del producto. Si el equipo corre el suficiente riesgo, Microsoft le recomienda que aplique ahora esta revisión. De lo contrario, espere al siguiente Service Pack de Internet Explorer 6 que contenga esta solución.

Para resolver este problema inmediatamente, descargue la revisión tal como se indica a continuación o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para ver una lista detallada de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información sobre los costos de asistencia, visite la siguiente dirección Web:

http://www.microsoft.com/Spain/support/supportnet/default.htm
NOTA: en casos especiales, los costos que habitualmente se derivan de las llamadas al servicio de soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos normales de soporte técnico se aplicarán a las preguntas y problemas adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

La revisión "Actualización de seguridad, 13 de diciembre de 2001" es sustituida por la siguiente:
316059 MS02-005: 11 de febrero de 2002, Revisión acumulativa para Internet Explorer
La actualización de seguridad de 13 de diciembre de 2001 está disponible en el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

Internet Explorer 5.5

Actualmente existe una revisión compatible en Microsoft, pero sólo está diseñada para corregir el problema descrito en este artículo y, por tanto, sólo debe aplicarse en sistemas que corran el riesgo de sufrir un ataque. Evalúe la accesibilidad física del equipo, la red y la conectividad a Internet, así como otros factores para determinar el grado de riesgo del equipo. Consulte el boletín de seguridad de Microsoft asociado Microsoft Security Bulletin como ayuda para realizar dicha determinación. Es probable que posteriormente se realicen pruebas adicionales de esta revisión para asegurar la calidad del producto. Si el equipo corre el suficiente riesgo, Microsoft le recomienda que aplique ahora esta revisión. De lo contrario, espere al siguiente Service Pack de Internet Explorer 5.5 que contenga esta solución.

Para resolver este problema inmediatamente, descargue la revisión tal como se indica a continuación o póngase en contacto con los Servicios de soporte técnico de Microsoft para obtenerla. Para ver una lista detallada de los números de teléfono de los Servicios de soporte técnico de Microsoft, así como información sobre los costos de asistencia, visite la siguiente dirección Web:

http://www.microsoft.com/Spain/support/supportnet/default.htm
NOTA: en casos especiales, los costos que habitualmente se derivan de las llamadas al servicio de soporte técnico pueden cancelarse si un profesional de soporte técnico de Microsoft determina que una actualización específica resolverá el problema. Los costos normales de soporte técnico se aplicarán a las preguntas y problemas adicionales que no reúnan las condiciones necesarias para la actualización en cuestión.

La revisión "Actualización de seguridad, 13 de diciembre de 2001" es sustituida por la siguiente:
316059 MS02-005: 11 de febrero de 2002, Revisión acumulativa para Internet Explorer
La actualización de seguridad de 13 de diciembre de 2001 está disponible en el siguiente sitio Web de Microsoft:
http://www.microsoft.com/windows/ie/downloads/critical/q313675/default.asp

NOTA: para evitar que el equipo se reinicie durante la instalación, agregue el modificador "/r:n." (sin las comillas) al archivo Q312461.exe cuando instale la revisión.

Solución

Para evitar este problema, puede deshabilitar la automatización activa en las zonas de Internet e intranet de Internet Explorer. Para impedir el uso de esta vulnerabilidad al utilizar la característica de procesamiento HTML de Outlook Express, debe configurar Outlook Express para utilizar la zona Sitios restringidos.

Deshabilitar la automatización activa

  1. Inicie Internet Explorer.
  2. En el menú Herramientas, haga clic en Opciones de Internet.
  3. En la ficha Seguridad, haga clic en Nivel personalizado.
  4. En el cuadro Configuración, haga clic en Deshabilitar en Automatización activa y Automatización de los subprogramas de Java .
  5. Haga clic en Aceptar y, otra vez, en Aceptar.
NOTA: si deshabilita la automatización activa en Internet Explorer y utiliza Microsoft Outlook Web Access (OWA) como cliente de correo electrónico, puede perder parte de la funcionalidad de OWA. Para conservar toda la funcionalidad de OWA, no deshabilite la automatización activa en Internet Explorer.

Habilitar sitios restringidos en Outlook Express

  1. Inicie Outlook Express.
  2. En el menú Herramientas, haga clic en Opciones.
  3. Haga clic en la ficha Seguridad, en Zona de sitios restringidos (más segura) y, después, haga clic en Aceptar.
NOTA: los sitios que se hayan deshabilitado o cuya funcionalidad cambió al desactivar la automatización activa quedan habilitados al agregarlos a la zona de sitios de confianza. Todos los sitios introducidos de esta forma tienen la configuración de seguridad asociada con la pertenencia a una zona de confianza. Para realizar esto:
  1. Inicie Internet Explorer.
  2. En el menú Herramientas, haga clic en Opciones de Internet y, a continuación, haga clic en la ficha Seguridad.
  3. Haga clic para seleccionar Sitios de confianza y, a continuación, haga clic en Sitios.
  4. Escriba el nombre de la página Web que va a aparecer en la lista como un sitio de confianza y haga clic en Agregar. Repita este proceso para cada página Web que desee agregar a la lista.
  5. Cuando haya introducido todas las páginas Web en la lista, haga clic en Aceptar y, de nuevo, en Aceptar.

Estado

Internet Explorer 6

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de la seguridad en Internet Explorer 6.

Internet Explorer 5.5

Microsoft ha confirmado que este problema puede causar cierto grado de vulnerabilidad de la seguridad en Internet Explorer 5.5.

Más información

Para obtener más información acerca de esta vulnerabilidad, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/security/bulletins/ms01-055.asp

Propiedades

Id. de artículo: 312461 - Última revisión: viernes, 15 de septiembre de 2006 - Versión: 2.7
La información de este artículo se refiere a:
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5 Service Pack 2
  • Microsoft Internet Explorer 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Outlook Express 5.5
  • Microsoft Outlook Express 6.0
  • Microsoft Internet Explorer 6.0 sobre las siguientes plataformas
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
    • Microsoft Windows XP Media Center Edition
    • Microsoft Windows XP Tablet PC Edition
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows 2000 Datacenter Server
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
    • Microsoft Windows NT Server 4.0 Standard Edition
    • Microsoft Windows NT Server 4.0, Terminal Server Edition
    • Microsoft Windows NT Workstation 4.0 Developer Edition
    • Microsoft Windows Millennium Edition
    • Microsoft Windows 98 Second Edition
    • Microsoft Windows 98 Standard Edition
Palabras clave: 
kbbug kbfix kbinterop kbie600presp1fix kbenv kbnetwork kbsecurity kbie550presp3fix KB312461

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com