Notícias
Diciembre 2005
- MS05-054: Se trata de una actualización acumulativa para Internet Explorer, que además soluciona cuatro nuevas vulnerabilidades que pueden llegar a permitir la ejecución remota de código. Está calificado como "crítico".
- MS05-055: Soluciona una vulnerabilidad de elevación de privilegios en el modo en que se procesan en el núcleo de Windows 2000 las llamadas a procedimientos asincrónicos. Esta vulnerabilidad podría permitir que un usuario local con una sesión abierta tome control completo del sistema. Está calificado como "Importante".
Microsoft se compromete a mejorar la Seguridad del Explorer
La empresa ha anunciado varios cambios en la forma en que el Internet Explorer 7 clasificará la seguridad de los sitios web, con el objetivo de reducir la probabilidad de que los usuarios sean víctimas de códigos maliciosos. El navegador, que se lanzará tanto de forma independiente como junto a Windows Vista, estará disponible en 2006. Además, este mes Microsoft ha publicado dos nuevos boletines (MS05-054 y MS05-055). El primero se refiere al Internet Explorer y el segundo al kernel de Windows 2000
Los nuevos boletines de Seguridad son los siguientes:
Las mejoras de Seguridad del Explorer
La actual versión de IE (la 6) tiene cuatro clasificaciones para los sitios web: Internet, intranet local, de confianza y restringidos. Esto permite a los usuarios aplicar diferentes reglas de seguridad en la forma en que el navegador interactúa con los grupos de sitios web. El navegador utiliza esta configuración para determinar si ejecuta, por ejemplo, controles ActiveX sin alertar al usuario o no.
Microsoft ha centrado sus esfuerzos en evitar que el navegador ejecute código malicioso en las zonas menos restrictivas. Como la zona de intranet local no es relevante para los usuarios domésticos, en el nuevo IE 7 se tratarán estos sitios como si fueran de Internet si el PC no está situado en una red corporativa gestionada.
Pero si un ordenador se encuentra en un dominio, la nueva versión detectará automáticamente los sitios de la intranet y volverá a “activar” la configuración de seguridad. Los administradores de red podrán establecer políticas de grupo para asegurarse de que el navegador funciona según sus necesidades.
En Windows Vista, la zona Internet funcionará en lo que la compañía llama “modo protegido” para evitar los ataques de los que Internet Explorer viene siendo objeto. Otra característica llamada ActiveX Opt-In reducirá el daño potencial de los controles ActiveX maliciosos en la zona Internet. Estos cambios se verán reflejados en un nuevo nivel de seguridad en la zona Internet que se llamará “medio alto”.
La zona de sitios de confianza también cambiará: ahora tendrá una configuración de seguridad por defecto situada en nivel “medio”, igual que en la zona Internet de IE 6. Los usuarios podrán reducir este nivel de seguridad si lo desean.