Ocultamiento de scripts en Internet ExplorerSe ha reportado una vulnerabilidad en Microsoft Internet Explorer, que permite a un usuario remoto ocultar código script contenido en una página web.
El problema se produce porque el IE no procesa correctamente ciertos códigos en javascript. Un usuario remoto puede crear un archivo HTML modificado maliciosamente para que cuando la página sea cargada por el usuario, éste no pueda ver ese código si invoca la opción "Ver" -> "Código fuente".
En lugar de mostrar el código HTML original con el script involucrado, el Internet Explorer muestra el resultado de la ejecución del código javascript.
El siguiente ejemplo ha sido publicado en Internet:
<script type="text/jscript">
function init() {
document.write("The time is: " + Date() );
}
window.onload = init;
</script>
Una prueba de concepto está disponible en el siguiente enlace:
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6/exploit_javascript_ie_6_bug.htm
Si el equipo es vulnerable, se verá en pantalla el resultado del script:
The time is now: [día, mes, fecha, hora y año actual]
Y lo mismo deberá ser visto en "Ver", "Código fuente", o botón derecho, "Ver código fuente", cuando en realidad el código, que es el ejemplo mostrado antes, no será visualizado.
Productos vulnerables:
- Microsoft Internet Explorer 6.0 SP2 y anteriores
Solución:
No existe una solución al momento de la publicación de esta alerta. Según el autor, Microsoft fue avisado el 7 de junio de 2005.
Se recomienda deshabilitar javascript en sitios que no son de confianza
Créditos:
Pascal Vyncke <
[email protected]>
Referencias:
Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174
http://securitytracker.com/id?1014174Publicado en:
http://www.vsantivirus.com/vul-ie-script-110606.htm
