NUEVA FALSIFICACION DE URL EN BARRA DE ESTADO DE INTERNET EXPLORER, OUTLOOK Y OUTLOOK EXPRESSSe ha descubierto un fallo en Microsoft Internet Explorer, Outlook y Outlook Express que permite a personas maliciosas alterar la URL desplegada en la barra de estado.
El problema es que Internet Explorer, Outlook y Outlook Express fallan en desplegar correctamente la URL en la barra de estado si una etiqueta de imagen (image tag) ha sido incluida en una referencia "A HREF" y utiliza un "client side image map" (Image Maps gestionados por el cliente) para especificar la URL de destino. Esto puede ocasionar que el usuario siga un enlace a un sitio aparentemente seguro cuando en realidad el navegador se dirigirá a un sitio malicioso y no hacia el indicado en la barra de estado.
Su descubridor, "http-equiv", ha provisto un exploit de demostración:
http://www.malware.com/pheeesh.zipAl abrir dicho mensaje en el Outlook Express se muestra una URL confiable (que en realidad es un gráfico "malware.gif") y al pasar el puntero del mouse sobre esa imagen, la barra de estado muestra esa misma URL aparentemente confiable, cuando en realidad si hacemos clic en el enlace nos dirige a otro sitio, no malicioso en este caso.
Software afectado por el fallo: Microsoft Outlook 98
Microsoft Outlook 97
Microsoft Outlook 2002
Microsoft Outlook 2000
Microsoft Office XP
Microsoft Office 97
Microsoft Office 2000
Microsoft Internet Explorer 6
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01
Microsoft Outlook Express 5
Este fallo ha sido verificado en Outlook Express 6 e Internet Explorer 6 con todos los parches aplicados.
Según el reporte, Outlook 2003 muestra la URL correcta, no estando afectado por este fallo.
Recomendación:Ingresar manualmente en el navegador las URLs recibidas en mensajes de correo.
No seguir enlaces de sitios no confiables.
Créditos:"http-equiv" (
www.malware.com)
Basado en reportes publicados en:http://www.securityfocus.com/archive/1/362800http://secunia.com/advisories/11582/Referencias:Mapas gestionados por el cliente (client-side image maps)
http://www.monografias.com/trabajos4/cursoweb/cursoweb2.shtmlArtículo Original