Se ha detectado una vulnerabilidad en Internet Explorer 6, que puede
ser empleada para evitar las restricciones de seguridad del navegador
y comprometer el sistema.
Es posible forzar al navegador del usuario para descargar de forma
automática e instalar un programa malicioso si se condiciona a que el
usuario visualice un html malicioso con múltiples frames que referencien
a un archivo ejecutable.
Aparentemente, mediante el envío de múltiples peticiones de un archivo
pueden evitarse las restricciones de seguridad del navegador y el
archivo se descarga de forma silenciosa y se ejecuta con los
privilegios del usuario.
Hasta el momento, no se ha publicado ninguna actualización para cubrir
esta vulnerabilidad y como única contramedida se presenta el deshabilitar
la descarga de archivos desde Internet Explorer.
Más información:
Internet Explorer Automatic File Download and Execution Vulnerability
http://www.secunia.com/advisories/8807/
Microsoft Internet Explorer does not adequately handle multiple file download requests
http://www.kb.cert.org/vuls/id/251788
Antonio Ropero
antonior@hispasec.com