Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Validación incorrecta de parámetros para fonts en IE
 
VSantivirus No. 1034, Año 7, Miércoles 7 de mayo de 2003

 Validación incorrecta de parámetros para fonts en IE
http://www.vsantivirus.com/vul-dialog-font.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


El Internet Explorer no valida adecuadamente los parámetros que indican tipo y tamaño de los fonts en los cuadros de diálogo.

Esto permite que un script de un cuadro de diálogo de un dominio, se ejecute en un dominio diferente, incluyendo la zona local (Mi PC).

El Internet Explorer proporciona dos métodos (showModalDialog y showModelessDialog) para mostrar los cuadros de diálogo. Ambos métodos requieren parámetros URI (Universal Resource Identifier), que especifiquen la fuente usada en el contenido del cuadro. Como una opción, se permite indicar estos datos con la misma sintaxis usada en las hojas de estilo (Ej.: "font:3;font-size:4").

Un cuadro de diálogo está sujeto a las mismas restricciones de otros objetos DHTML, un script ejecutado en un cuadro, no tiene acceso a los datos de cuadros de un dominio diferente o a través de un protocolo diferente.

Por un error en la validación de los parámetros URI para los fonts en el cuadro de diálogo en un dominio, la limitación mencionada no funciona, y se puede acceder a los datos de otro dominio.

Un script puede leer entonces ciertos archivos y datos (como por ejemplo las cookies), guardadas en nuestro PC pero pertenecientes a otro sitio Web (para ayudar en la navegación, cada sitio puede guardar por defecto sus cookies en nuestra computadora).

Un atacante puede convencer al usuario para que acceda a un documento HTML con parámetros URI especialmente modificados, como una página Web o un correo electrónico con formato HTML, de modo que pueda llegar a obtener datos de otro dominio, o leer archivos de la propia computadora de su víctima.

El documento deberá ser leído en una zona donde esté habilitado el Active Scripting.

Son afectados el Internet Explorer, Outlook, Outlook Express, MSN Messenger, Eudora, Lotus Notes, Adobe PhotoDeluxe, AOL, y cualquier otro software que utilice el control WebBrowser ActiveX.


Solución:

Instalar el último parche acumulativo para el IE:
http://www.vsantivirus.com/vulms03-015.htm


Solución alternativa (para Internet Explorer):

Configurar el Internet Explorer como se explica aquí:
http://www.vsantivirus.com/faq-sitios-confianza.htm


Más detalles

Microsoft Internet Explorer does not adequately validate...
http://www.kb.cert.org/vuls/id/244729




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS