Microsoft ha publicado un parche que elimina dos vulnerabilidades de Microsoft® Internet Explorer. Estas vulnerabilidades involucran la manera en que IE maneja los certificados digitales; ya que si se conjuntan una serie de circunstancias desafortunadas, podría permitir que el operador de un sitio web maligno lo haga pasar por sitio web de confianza. Se han identificado dos vulnerabilidades en cuanto al manejo de los certificados digitales que hace el IE. Cuando se hace una conexión a un servidor seguro vía una imagen o recuadro, IE sólo verifica que el certificado SSL del servidor esté publicado por una fuente de confianza - no verifica el nombre del servidor ni la fecha de expiración. Cuando se hace una conexión a través de cualquier otro medio, se realizan todas las validaciones esperadas. Aún si la validación inicial se hace de forma correcta, si se establece una nueva sesión SSL con el mismo servidor durante la misma sesión, IE no valida de nuevo el certificado. Las circunstancias en las que se pueden presentar estas vulnerabilidades son muy limitadas. En ambos casos, es probable que el atacante necesite ya sea contaminar el caché del DNS, o bien reemplazar físicamente el servidor, a fin de efectuar el ataque a través de esta vulnerabilidad. En el segundo caso, el tiempo de ejecución resulta especialmente importante, ya que el usuario maligno necesitaría contaminar el caché o sustituir la máquina durante el intervalo entre ambas sesiones SSL.

Esta descripción ha sido traducida automáticamente. Pronto será reemplazada por una traducción realizada por un traductor real.