« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Grave vulnerabilidad "Drag and Drop" en IE  (Leído 2031 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Grave vulnerabilidad "Drag and Drop" en IE
« en: 20 de Agosto de 2004, 01:14:49 pm »
Grave vulnerabilidad "Drag and Drop" en IE

Secunia advierte de una nueva e importante vulnerabilidad en Microsoft Internet Explorer, la cuál puede ser explotada por personas maliciosas para comprometer los sistemas de los usuarios afectados.

La vulnerabilidad es causada por una insuficiente validación de los eventos de "arrastrar y soltar" (drag and drop), cuando se utilizan estos para arrastrar un objeto desde la zona de Internet hacia los recursos locales.

Esto puede ser explotado por sitios maliciosos para descargar un archivo en la carpeta de inicio del usuario, de modo que este código se ejecute en el próximo reinicio de Windows. Ello permitiría la fácil acción de un troyano o cualquier otra clase de código maligno.

Una prueba de concepto está disponible en Internet, por lo que su explotación en el mundo real, seguramente no se hará esperar.

Aunque en el ejemplo, el usuario debe arrastrar una supuesta imagen para que el archivo se descargue en la carpeta de inicio, el código podría ser fácilmente modificado para que toda la interacción necesaria de la posible víctima se reduzca a un simple clic sobre un enlace.

Esta vulnerabilidad, reportada por "http-equiv", es una variante de otra anterior reportada por "Liu Die Yu", otro conocido cazador de fallos.

La vulnerabilidad ha sido confirmada en un sistema totalmente actualizado y con todos los parches al día, en Microsoft Internet Explorer 5.01, 5.5 y 6.0, bajo Windows XP SP1 y también en equipos ejecutando el nuevo SP2.

No hay solución para este problema de parte de Microsoft, y para estar protegido, se sugiere desactivar Active Scripting, o configurar el Internet Explorer como se indica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Créditos: http-equiv
Relacionados:
Microsoft Internet Explorer Drag and Drop Vulnerability
http://secunia.com/advisories/12321/
[Full-Disclosure] What A Drag II XP SP2
http://lists.netsys.com/pipermail/full-disclosure/2004-August/025471.html
Publicado en: http://www.vsantivirus.com/vul-ie-drag-and-drop.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.