Controlado desde el
19/10/97 por NedStat
|
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro
visitante número desde
el 12 de agosto de 1996
Falla en IE al ver la lista de carpetas de los sitios FTP
|
|
VSantivirus No. 702 - Año 6 - Domingo 9 de junio de 2002
Falla en IE al ver la lista de carpetas de los sitios FTP
http://www.vsantivirus.com/vul-ftp-folder.htm
Aviso de seguridad: Falla en IE al ver la lista de carpetas de los sitios FTP
Nombre original: 'Folder View for FTP sites' Script Execution vulnerability
Fecha original: 7/jun/02
Autor/descubridor: Eiji James Yoshida <zaddik@geocities.co.jp>
Aplicación vulnerable: IE 5.5 SP1, IE 5.5 SP2, IE 6.0
Severidad: Media
Riesgo: Ejecución de código sin advertencia
Fabricante: Microsoft
Referencia: http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html
El Internet Explorer permite la ejecución de scripts que se aprovechan de una vulnerabilidad en el modo de ver en el propio explorador los sitios FTP listados como carpetas (cómo en una vista de los archivos de nuestra propia computadora).
Si usted tiene tildadas las opciones "Habilitar la lista de carpetas para los sitios
FTP", en el menú 'Opciones avanzadas' de las 'Opciones de Internet' (Herramientas, Opciones de Internet), y la opción
"Ver cómo una página Web" en el menú Ver del Explorador de Windows, un script embebido en la dirección de un servidor FTP puede ser ejecutado. Ambas opciones están marcadas por defecto.
El riesgo aumenta si se hace que el script se ejecute en la zona correspondiente a "Mi PC", que es la zona de seguridad local, donde no hay restricciones.
Windows maneja las siguientes zonas:
Zona 0 = Mi PC (nuestro equipo)
Zona 1 = Intranet local (sitios Web de la red local)
Zona 2 = Sitios de confianza (aquellos que sabemos seguros)
Zona 3 = Internet (todos los sitios que no estén en las otras zonas)
Zona 4 = Sitios restringidos (sitios que sabemos peligrosos)
El código debe estar embebido en el archivo FTP.HTT, y existe una demostración en el enlace que se da al final.
Se sugiere como medida de prevención, deshabilitar las opciones
"Habilitar la lista de carpetas para los sitios FTP" y
"Ver cómo una página Web".
Para ello siga estos pasos:
1. Desde el Internet Explorer, seleccione Herramientas, Opciones de Internet, y desmarque la opción
"Habilitar la lista de carpetas para los sitios FTP".
2. Desde el Explorador de Windows, seleccione Ver y desmarque
"Ver cómo una página Web".
Demostración:
http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html
Microsoft fue alertado el 21 de diciembre de 2001, pero la falla sigue existiendo a pesar de los últimos parches de la compañía, por lo que quien descubrió el problema, lo ha hecho publico como forma de advertir a los usuarios del peligro que se mantiene latente.
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|