Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ocultamiento de scripts en Firefox (JavaScript Ghost)
 
VSantivirus No. 1802 Año 9, lunes 13 de junio de 2005

Ocultamiento de scripts en Firefox (JavaScript Ghost)
http://www.vsantivirus.com/vul-firefox-script-120606.htm

Por Angela Ruiz
angela@videosoft.net.uy


"JavaScript Ghost bug" es el nombre de la vulnerabilidad reportada en Microsoft Internet Explorer, que permite a un usuario remoto ocultar el código script contenido en una página web, y cuyos detalles publicábamos en VSA 1801 (ver "Ocultamiento de scripts en Internet Explorer", http://www.vsantivirus.com/vul-ie-script-110606.htm).

Aún cuando en principio también sería vulnerable el navegador Opera, en el aviso original del descubridor de este problema, "Seniorennet.be", se informa que aunque Opera tiene este fallo, no representa en este caso un riesgo de seguridad (no se aportan más detalles). Pero además de ello, se afirma que no son vulnerables las versiones actuales de Firefox, y tampoco las de Netscape.

Sin embargo, según revela "CyruxNET.org", Firefox 1.0.4 también sería afectado, aunque por una variante del exploit que se aprovecha de dicha vulnerabilidad.

El equipo de CyruxNET realizó varias pruebas, tanto con Internet Explorer 6 con SP2, como con la última versión de Firefox (la 1.0.4) (ver el artículo completo en http://www.cyruxnet.org/ghost_firefox.htm).

De acuerdo a estas pruebas, al menos una de las variantes creadas a partir del exploit original publicado por Pascal Vyncke de Seniorennet, puede ser empleada también en Firefox, para que un atacante remoto ejecute código javascript desde una página web sin que el visitante lo llegue a visualizar.

Aunque se especula (tanto con el Internet Explorer, como con el Firefox), que esto podría ocasionar que algunos programas antivirus no llegaran a analizar bajo estas condiciones el código fuente para interceptar aquellos scripts que pudieran contener código malicioso (gusanos, troyanos, etc.), esto no es totalmente cierto, ya que ello depende del nivel al que se realice este análisis, el que siempre debería ser hecho antes de que llegue al navegador (al menos con el módulo IMON de NOD32 ello es lo que ocurriría).

El módulo IMON forma parte de los módulos de análisis en el acceso de NOD32, que actúan como filtro específico para las comunicaciones entre nuestro equipo e Internet, y contiene su propio subsistema para el análisis del tráfico HTTP evitando las infiltraciones que ocurren al acceder a páginas maliciosas o al descargar archivos.

En otros casos, sobre todo como complemento de otras técnicas de phishing, tal vez si puedan existir más posibilidades de que esta vulnerabilidad llegue a ser utilizada, aunque no está claro como afectaría su interacción con el usuario.

Recordemos que este problema se produce porque los navegadores afectados no procesan correctamente ciertos códigos de javascript. De este modo, un archivo HTML modificado maliciosamente, puede hacer que cuando la página sea cargada por el usuario, éste no visualice el contenido de dicho código siempre que invoque la opción "Ver Código fuente".

Para Firefox, una prueba de concepto está disponible en el siguiente enlace:

http://www.cyruxnet.org/demo_ghost_firefox.htm

Para Internet Explorer, ver el siguiente artículo:

Ocultamiento de scripts en Internet Explorer
http://www.vsantivirus.com/vul-ie-script-110606.htm


Créditos:

Pascal Vyncke <development@seniorennet.be>
CyruxNET <info[arroba]cyruxnet.org> (Firefox)


Referencias:

Firefox 1.0.4 vulnerable al "JavaScript Ghost bug" modificado
http://www.cyruxnet.org/ghost_firefox.htm

WARNING: Javascript bug IE 6
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6
/security_flaw_bug_javascript_ie_6_internet_explorer.php


Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174 
http://securitytracker.com/id?1014174


Sobre NOD32: Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS