Vulnerabilidad en control ActiveX HHCTRL, en IESe ha reportado una vulnerabilidad en el Internet Explorer, que puede ser utilizada por piratas informáticos para provocar un ataque del tipo CROSS-SITE-SCRIPTING (XSS).
Este tipo de ataque permite a un usuario remoto introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado en la máquina de la víctima, y en el contexto de un dominio exterior.
La vulnerabilidad se produce en el control ActiveX llamado HHCTRL.
No existe solución de parte de Microsoft, y está disponible una prueba de concepto (PoC) en Internet.
El fallo afecta a Microsoft Internet Explorer 6.0 con SP2 instalado.
Se sugiere utilizar la siguiente configuración, que previene se puedan producir ataques maliciosos que intenten aprovecharse de esta vulnerabilidad:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htmCréditos: Roozbeh Afrasiabi
Referencias:
Microsoft Internet Explorer HHCtrl ActiveX Control Cross-Domain Scripting Vulnerability
http://www.securityfocus.com/bid/11521/Publicado en:
http://www.vsantivirus.com/vul-ie-hhctrl004.htm
