Desbordamiento de búfer con etiqueta IFRAME en IEUna vulnerabilidad considerada crítica, ha sido reportada en Internet Explorer, la cuál puede ser explotada por usuarios maliciosos para comprometer el sistema del usuario afectado.
La vulnerabilidad es causada por un error de límites en el manejo de ciertos atributos de las etiquetas FRAME e IFRAME en el código HTML. Esto puede ser explotado para causar un desbordamiento de búfer a partir de un documento HTML maliciosamente construido, de tal forma que contenga cadenas excesivamente largas en los atributos SRC y NAME.
La explotación exitosa de este fallo, podría permitir la ejecución arbitraria de código en el equipo afectado, con los privilegios del usuario actual.
La vulnerabilidad ha sido confirmada en las siguientes versiones, todas ellas con las últimas actualizaciones instaladas:
- Internet Explorer 6.0
- Internet Explorer 6.0 de Windows XP
- Internet Explorer 6.0 de Windows XP SP1
- Internet Explorer 6.0 de Windows 2000
No es afectado el Internet Explorer de Windows XP con el SP2 instalado.
Esta alerta ha sido considerada como "extremadamente crítica" por Secunia, debido a que existe al menos un exploit totalmente operativo, que ha sido publicado en listas de correos y foros públicos.
El exploit utiliza JavaScript para preparar la memoria en el equipo de la víctima, de tal modo de generar los bloques necesarios para poder ejecutar código en un entorno shell. Sin este manejo previo, el ataque puede ser sumamente difícil de implementar.
En las pruebas realizadas, el exploit produce un consumo excesivo de memoria y afecta al componente SHDOCVW.DLL, pero a partir de él podría generarse otro exploit más dañino, incluso con la posibilidad de ejecutar un código determinado.
Otros programas relacionados, como Outlook, Outlook Express, AOL, Lotus Notes, etc., que utilizan la facilidad de visualizar código HTML a partir del control ActiveX WebBrowser, también pueden ser afectados.
La vulnerabilidad fue descubierta con el uso de una herramienta automatizada que genera código HTML aleatoriamente modificado para detectar problemas de seguridad en los navegadores más conocidos, como Internet Explorer, Mozilla, Firefox, Netscape, Konqueror, Safari, Lynx, etc.
Para explotar este fallo en forma remota, solo es necesario engañar al usuario para que visualice en su navegador un documento HTML especialmente modificado. Esto incluye un mensaje electrónico con formato HTML.
Desactivar la ejecución de Active Scripting, también impide la ejecución del componente que permite la preparación de la memoria, como se explicaba antes, por lo que se recomienda a todos los usuarios configurar Internet Explorer como se explica en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htmTambién se recomienda la actualización inmediata con el Service Pack 2, de Windows XP, para estar protegido de ésta y otra clase de ataques similares.
Otras recomendaciones:
No seguir enlaces en mensajes no solicitados, tanto en correo electrónico, como programas de mensajería instantánea, foros o canales de IRC.
Configurar el cliente de correo electrónico para visualizar los mensajes en formato de texto plano. En Outlook Express 6, por ejemplo, configurar en Herramientas, Opciones, la casilla "Leer todos los mensajes como texto sin formato".
Mantener actualizado su antivirus.
Créditos: ned y SkyLined
Investigación adicional y exploit: Berend-Jan Wever
Referencias:
Internet Explorer IFRAME Buffer Overflow Vulnerability
http://secunia.com/advisories/12959/Publicado en:
http://www.vsantivirus.com/vul-ie-iframe-031104.htm
