Vulnerabilidad en componente Java de Internet Explorer

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Vulnerabilidad en componente Java de Internet Explorer

Compartir

Se ha reportado una vulnerabilidad en el componente JAVAPRXY.DLL de Microsoft Internet Explorer, que puede ser explotada para hacer que el navegador deje de responder, o incluso para la ejecución arbitraria de código.

JAVAPRXY.DLL es el "Microsoft Interface Proxy for Java", y no está presente en todas las versiones del Internet Explorer, ya que lo instala la máquina virtual Java de Microsoft (Microsoft Java VM), la cuál no es instalada por defecto en Windows XP SP1 y superiores.

El fallo se debe a un desbordamiento de búfer que compromete la memoria HEAP (área de la memoria dinámica disponible para los programas), y que se produce al intentar visualizar determinadas páginas HTML con ciertos componentes incluidos.

Según el informe original del problema, el mismo puede ser explotado mediante un script embebido en un HTML, que contenga ciertos identificadores de clase (CLSID), dentro de etiquetas OBJECT que manejen objetos COM.

COM (Modelo de Objetos Componentes), es un modelo de programación orientada a objetos que define cómo interactúan los mismos con una aplicación determinada o entre distintas aplicaciones.

También se asegura que mediante la manipulación de un puntero (indicador a una posición determinada de memoria), se podría llegar a ejecutar un código en el contexto del Internet Explorer, pero esto no ha podido ser comprobado.

Se ha publicado en Internet un exploit como demostración. De todos modos, Microsoft afirma no haber podido reproducir el fallo en su laboratorio, por lo que quita gravedad al tema. Sin embargo, se asegura que en próximas actualizaciones, robustecerá la comprobación de objetos COM.

Si el archivo JAVAPRXY.DLL no existe en la computadora, el fallo no puede producirse.

Se aconseja utilizar el Java de Sun, que no incluye este componente.

NOTA 01/07/05:

El 30 de junio Microsoft publicó una alerta (Microsoft Security Advisory 903144), donde solo confirma estar investigando el reporte de esta vulnerabilidad que afecta al Internet Explorer, y reitera no haber recibido reportes de ataques a sus clientes utilizando dicha vulnerabilidad. También afirma que de ser necesario se publicará un parche para resolver el problema.

Como precaución, Microsoft aconseja a sus clientes precaución a la hora de abrir enlaces en mensajes no solicitados. Otra acción sugerida es cambiar la configuración de la Zona de Internet e Intranet local, para que el Internet Explorer pregunte a la hora de ejecutar ActiveX.

Relacionados:

Microsoft Security Advisory (903144)
A COM Object (javaprxy.dll) Could Cause Internet Explorer to Unexpectedly Exit
http://www.microsoft.com/technet/sec...ry/903144.mspx


Referencias:

SecurityTracker Alert ID: 1014329
Microsoft Internet Explorer 'javaprxy.dll' COM Object Exception Handling Lets Remote Users Crash the Browser
http://securitytracker.com/alerts/2005/Jun/1014329.html

IE6 javaprxy.dll COM instantiation heap corruption
http://www.sec-consult.com/184.html


Créditos:

Bernhard Mueller <[email protected]>

Fuente: VSA ANTIVIRUS
Compartir
  #1  
Creado: 01-Jul-2005, a las 18:48 Vistas: 492
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
componente, explorer, internet, java, vulnerabilidad


Temas Similares
» Nueva vulnerabilidad crítica en Internet Explorer 0
» Nueva vulnerabilidad tipo día-cero en Internet Explorer 0
» Java Instalar en Internet Explorer 0
» Vulnerabilidad crítica en VGX.DLL (Internet Explorer) 0
» Vulnerabilidad de HHCtrl en Internet Explorer 0
» Vulnerabilidad DoS en Internet Explorer (mshtmled.dll) 0
» Internet Explorer 6: vulnerabilidad en XMLHTTP 0
» Aclaracion vulnerabilidad en MSDDS.DLL explotable a través de Internet Explorer 0
» Vulnerabilidad en Internet Explorer (archivos JPEG) 0
» Vulnerabilidad 'Frame Injection' en Internet Explorer 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 18:07.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4