Dentro del conjunto de boletines de seguridad del mes de agosto publicado el pasado martes 9 por Microsoft está el anuncio (en el boletín MS11-057) de una actualización acumulativa para Internet Explorer 6, 7, 8 y 9; que además resuelve un total de siete nuevas vulnerabilidades.

Esta actualización de seguridad resuelve cinco vulnerabilidades de las que se ha informado de forma privada y dos vulnerabilidades de las que se ha informado de forma pública en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada para ese fin. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario local. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.

Esta actualización de seguridad acumulativa se considera Crítica para Internet Explorer 6, 7, 8 y 9 en clientes Windows y Importante para Internet Explorer 6 en servidores Windows.

La clasificación y descripción de las vulnerabilidades es como sigue:

  1. La primera vulnerabilidad de clasificación Crítica consiste en daños en la memoria relacionada con XSLT (CVE-2011-1963) y la cual podría permitir ejecución remota de código a un intruso y afecta a las versiones de Internet Explorer desde la 7 hasta la 9. La versión 6 no está afectada
  2. La segunda vulnerabilidad clasificada como Critica consiste de daños en la memoria relacionada con los objetos de estilo(CVE-2011-1964) y la cual podría permitir ejecución remota de código a un intruso y afecta a todas las versiones de Internet Explorer desde la 6 hasta la 9.
  3. La primera vulnerabilidad clasificada como Importante consiste de la condición de ejecución de apertura de ventana (CVE-2011-1257) que podría permitir la ejecución remota de código a un intruso y afecta a Internet Explorer 6, 7 y 8. Internet Explorer 9 no está afectado por esta vulnerabilidad.
  4. La segunda vulnerabilidad de clasificación Importante consiste en la divulgación de información en los controladores de evento (CVE-2011-1960) y que un intruso mediante la creación de una página web maliciosa podría permitirle conseguir acceso al contenido de otro dominio o zona de Internet Explorer. Afecta a todas las versiones de Internet Explorer.
  5. La tercera vulnerabilidad de clasificación Importante consiste de la ejecución remota de código en el controlador de telnet (CVE-2011-1961) la cual pudiera permitir a un intruso la ejecución remota de código. Afecta a todas las versiones de Internet Explorer.
  6. Las dos vulnerabilidades restantes clasificadas como Moderadas consisten en la primera de ellas en la codificación de caracteres de desplazamiento JIS (CVE-2011-1962), la otra consiste de la divulgación de información a la operación de arrastrar y colocar (CVE-2011-2383), estas dos vulnerabilidades podrían permitir a un intruso mediante la creación de una página web maliciosa podría permitirle conseguir acceso al contenido de otro dominio o zona de Internet Explorer. Afecta a todas las versiones de Internet Explorer.

Recomendación: Generalmente la mayoría de los usuarios de los sistemas operativos Windows tienen habilitada la actualización automática y no deben realizar ninguna acción porque esta actualización de seguridad se descargará e instalará automáticamente. Los usuarios que no han habilitado la actualización automática deben buscar las actualizaciones e instalar esta actualización manualmente. Para obtener información sobre las opciones de configuración específicas de la actualización automática, vea el enlace al artículo 294871 de Microsoft Knowledge Base .

Para administradores e instalaciones empresariales, o usuarios finales que deseen instalar esta actualización de seguridad manualmente, Microsoft recomienda que los clientes apliquen la actualización inmediatamente con el software de administración de actualizaciones o busquen las actualizaciones con el servicio Microsoft Update .

Fuente: Microsoft TechNet

Anuncios