Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Google Toolbar puede permitir la ejecución de scripts
 
VSantivirus No. 1536 Año 8, lunes 20 de setiembre de 2004

 Google Toolbar puede permitir la ejecución de scripts
http://www.vsantivirus.com/vul-google-toolbar-190904.htm

Por Angela Ruiz
angela@videosoft.net.uy

La barra de herramientas de Google, posee un agujero en la validación del ingreso de datos en la página del "About" (Acerca de), que puede permitir a usuarios locales la ejecución de código en la zona de seguridad de "Mi PC".

La sección "About" (acerca de) de dicha barra, no filtra adecuadamente el código HTML. Un usuario malicioso puede crear un HTML que cuando sea cargado por la víctima, invoque la página About y ejecute un script en forma arbitraria, en el contexto de seguridad local.

Existe un exploit que sirve de demostración de este fallo. El exploit utiliza el protocolo "res:". Cómo este protocolo no puede ser ejecutado en la zona de seguridad de Internet (ver "Sobre las zonas de seguridad en Windows", http://www.vsantivirus.com/zonas-ie.htm), el exploit no puede ser usado por un usuario remoto.

No existe solución al momento de este reporte.

Créditos: Gregory R. Panakkal (Viper) <viper31337@yahoo.co.in>

Referencias:

Google Toolbar Input Validation Hole in 'About' Page Lets Local Users Execute Scripting Code
http://securitytracker.com/id?1011351

Google Toolbar
http://toolbar.google.com




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS