Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Internet Explorer expone información sensible
 
VSantivirus No. 1065 Año 7, Sábado 7 de junio de 2003

 Internet Explorer expone información sensible
http://www.vsantivirus.com/vul-enlaces-relacionados.htm

Por Angela Ruiz
angela@videosoft.net.uy


El Internet Explorer es capaz de exponer información sensible enviada a un sitio seguro (https://), a terceros, sin notificación alguna al usuario.

Esta vulnerabilidad ha sido identificada en el Internet Explorer (IE), y afecta incluso a la versión 6.0. Con este agujero, información sensible puede ser enviada a "msn.com" y "alexa.com" específicamente. Pero el verdadero riesgo en esta falla, más que el envío de datos a esos sitios específicos, es el hecho de que se pueda hacer esto con información que debería ser privada.

La falla se produce en una característica conocida. La opción "Mostrar Enlaces Relacionados" fue implementada por Microsoft en el IE desde la versión 5. Esta opción está en el menú Herramientas. Cuando se selecciona, la computadora consulta la base de datos Alexa y MSN, buscando páginas similares a la que se esta viendo en ese momento, presentando los enlaces relacionados en la pestaña "Búsqueda" de la Barra del Explorer.

Pero debido a una falla, el IE seguirá enviando información a los sitios "msn.com" y "alexa.com" aún después que la opción "Mostrar Enlaces Relacionados" ha sido deshabilitada. Ello ocurre cada vez que se utiliza la combinación de teclas CTRL+R para recargar la página.

Lo grave es que este comportamiento afecta también a las páginas bajo el protocolo SSL (Secure Socket Layer). Este protocolo de seguridad es utilizado para las conexiones seguras (comercio electrónico, etc.). Son los sitios que se identifican con un enlace tipo "https://".

La información intercambiada entre nuestra computadora y un sitio seguro se supone protegida (por el protocolo SSL) y bajo ninguna circunstancia debería ser enviada a terceros. Y mucho menos en un formato de texto simple como ocurre en este caso.

Los datos enviados a "msn.com" y "alexa.com", consisten en el URL completo (URL: Uniform Resource Locator). Un URL especifica la dirección de un objeto (un archivo, una página, grupo de News, etc.). Es común que muchas veces se utilice el URL para incluir además del camino a una página o archivo, información sensible tal como nombre de usuario, contraseña, identificación de sesión, cadena de búsqueda, el "camino secreto" de algún recurso y más.

Esta vulnerabilidad ha sido confirmada en el Internet Explorer 6 bajo Windows 2000 y Windows XP inclusive, con los últimos parches y actualizaciones.

Para evitar estos riesgos, es conveniente no utilizar la opción "Mostrar Enlaces Relacionados", y mucho menos usar la combinación de teclas CTRL+R para recargar una página.

Cuando visite un sitio seguro para realizar alguna operación crítica, cierre la ventana del navegador luego de terminar, no la use para visitar algún otro sitio desde ella.


Créditos: Mike Shepherd




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS