Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Nueve fallas críticas en el Internet Explorer
 
VSantivirus No. 839 - Año 6 - Jueves 24 de octubre de 2002

Nueve fallas críticas en el Internet Explorer
http://www.vsantivirus.com/24-10-02.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Nueve vulnerabilidades relacionadas con los objetos guardados en el caché del Internet Explorer, han sido anunciadas por la empresa israelí GreyMagic Software.

Son afectadas las versiones 5.5 y 6.0 únicamente. Ni las versiones previas (5.0, 5.01), ni el SP1 del IE6 son vulnerables. Las versiones anteriores a la 5.5 SP2 además, ya no son soportadas por Microsoft.

Cualquier otra aplicación que utilice como browser el Internet Explorer (WebBrowser control) es también afectado (AOL Browser, MSN Explorer, etc.)

Cuando existe una comunicación entre ventanas, unos filtros de seguridad comprueban que ambas ventanas se encuentren en la misma zona de seguridad y en el mismo dominio.

La falla ocurre porque estos filtros de seguridad asumen en forma equivocada que ciertos métodos y objetos sólo pueden ser llamados desde su respectiva ventana y no lo comprueban. Esto habilita que estos métodos sean usados desde el caché, permitiendo un intercambio entre documentos fuera de las zonas de seguridad asumidas.

GreyMagic descubrió no una, sino nueve vulnerabilidades que se aprovechan del error mencionado antes, siendo algunas de ellas sumamente críticas.

Para entender el peligro, imagínese que un atacante abre una ventana apuntando a su propio sitio, pero las referencias en el caché se mantienen en la computadora local, permitiendo al atacante, la posibilidad de robar documentos locales, cookies, falsificar sitios seguros, robar información del portapapeles, o hasta ejecutar programas en forma arbitraria, al poder acceder en forma remota al sistema, pero con el nivel de seguridad del área local (Mi PC).

GreyMagic aconseja deshabilitar el Active Scripting de su navegador, o actualizarse a la versión SP1 del IE 6. Los usuarios con las versiones instaladas por defecto con Windows 98 (4.0, 5.0 y 5.01), son invulnerables.

Un ejemplo (http://security.greymagic.com/adv/gm012-ie/) muestra como un atacante puede obtener los cookies usados por el sitio "google.com".

Nuevamente GreyMagic revela las fallas antes de que Microsoft tenga una solución para las mismas (con el consiguiente enojo de la compañía norteamericana), debido a que a pesar de haber sido avisada ésta hace ya bastante tiempo, aún no ha dado ninguna clase de respuesta para solucionarlo.

GreyMagic considera que la falla es muy grave, y por lo tanto prefiere advertir al usuario antes que cualquier individuo malicioso genere una forma de ataque que ponga en riesgo su computadora.


Cómo desactivar el Active Scripting y controles ActiveX

Para deshabilitar Active Scripting y los controles ActiveX, seleccione Opciones de Internet, Seguridad, Internet, Personalizar nivel, y tilde "Desactivar" en todas las opciones de Automatización y Controles y complementos de ActiveX. Recuerde que a partir de ello, muchas facilidades y opciones disponibles al visualizar algunos sitios desaparecerán o darán error.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS