Foros de daboweb

SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: Danae en 12 de Junio de 2005, 07:10:47 pm

Título: Ocultamiento de scripts en Internet Explorer
Publicado por: Danae en 12 de Junio de 2005, 07:10:47 pm

Ocultamiento de scripts en Internet Explorer

Se ha reportado una vulnerabilidad en Microsoft Internet Explorer, que permite a un usuario remoto ocultar código script contenido en una página web.

El problema se produce porque el IE no procesa correctamente ciertos códigos en javascript. Un usuario remoto puede crear un archivo HTML modificado maliciosamente para que cuando la página sea cargada por el usuario, éste no pueda ver ese código si invoca la opción "Ver" -> "Código fuente".

En lugar de mostrar el código HTML original con el script involucrado, el Internet Explorer muestra el resultado de la ejecución del código javascript.

El siguiente ejemplo ha sido publicado en Internet:

<script type="text/jscript">
function init() {
document.write("The time is: " + Date() );

}
window.onload = init;
</script>

Una prueba de concepto está disponible en el siguiente enlace:

http://research.seniorennet.be/Techresearch
/Javascript_security_flaw_bug_ie_6/exploit_javascript_ie_6_bug.htm

Si el equipo es vulnerable, se verá en pantalla el resultado del script:
The time is now: [día, mes, fecha, hora y año actual]
Y lo mismo deberá ser visto en "Ver", "Código fuente", o botón derecho, "Ver código fuente", cuando en realidad el código, que es el ejemplo mostrado antes, no será visualizado.


Productos vulnerables:
- Microsoft Internet Explorer 6.0 SP2 y anteriores

Solución:
No existe una solución al momento de la publicación de esta alerta. Según el autor, Microsoft fue avisado el 7 de junio de 2005.
Se recomienda deshabilitar javascript en sitios que no son de confianza

Créditos:
Pascal Vyncke <[email protected]>

Referencias:
Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174
http://securitytracker.com/id?1014174
Publicado en: http://www.vsantivirus.com/vul-ie-script-110606.htm

Título: Ocultamiento de scripts en Internet Explorer
Publicado por: destroyer en 12 de Junio de 2005, 08:49:38 pm

Gracias Danae

un saludo