« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Dos vulnerabilidades en Internet Explorer 6  (Leído 1529 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Dos vulnerabilidades en Internet Explorer 6
« en: 21 de Octubre de 2004, 07:09:01 pm »
Dos vulnerabilidades en Internet Explorer 6
Secunia anunció dos vulnerabilidades en Internet Explorer 6. Las mismas podrían ser explotadas por personas maliciosas para comprometer el sistema del usuario afectado, enlazar a documentos y recursos locales, y saltearse las características de seguridad de Windows XP con Service Pack 2 instalado.

Una de las vulnerabilidades se produce por una validación insuficiente de los eventos "drag an drop", al arrastrar y soltar objetos desde la zona de Internet hacia recursos locales, tanto para imágenes válidas como para archivos multimedia con código HTML embebido. Esto puede ser explotado por un sitio Web malicioso para plantar documentos HTML en forma arbitraria en el sistema del usuario, con la posibilidad de ejecutar scripts maliciosos en la zona de seguridad local (Mi PC).

NOTA: Windows XP SP2 no permite secuencias de comandos ActiveX (Active Scripting), en la zona de seguridad local.

La segunda vulnerabilidad ocurre por un error en las restricciones de las zonas de seguridad, donde por ejemplo, un control de ayuda HTML embebido en cierta página de un sitio web malicioso, que haga referencia a un archivo índice especialmente creado a mano (.hhk), podría ejecutar un documento HTML local.

NOTA: Esto también eludiría la característica de bloqueo de la zona de seguridad local de Windows XP SP2.

Las dos vulnerabilidades, en combinación con un comportamiento inadecuado de un modelo ADO (ActiveX Data Objects, un sistema de acceso a bases datos a través de la web), podrían ser explotadas para escribir archivos en forma arbitraria, comprometiendo el sistema del usuario.

Este problema ha sido confirmado en un sistema con todos los parches actualizados, y con Internet Explorer 6.0 y Microsoft Windows XP SP2 instalados.

La solución es deshabilitar la secuencia de comandos ActiveX en sitios no confiables.

Créditos:
http-equiv
Andreas Sandblad de Secunia Research (reportado a Microsoft el 13/10/2004).

Otras referencias:
Microsoft Internet Explorer Drag and Drop Vulnerability
http://secunia.com/advisories/12321/
Microsoft Internet Explorer Two Vulnerabilities
http://secunia.com/advisories/12889/
Publicado en: http://www.vsantivirus.com/vul-ie6-201004.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15869
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Dos vulnerabilidades en Internet Explorer 6
« Respuesta #1 en: 21 de Octubre de 2004, 08:05:40 pm »
Gracias danae.

Un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.