Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Posibilidad de sobrescritura de cookies en IE
 
VSantivirus No. 1593 Año 8, martes 16 de noviembre de 2004

Posibilidad de sobrescritura de cookies en IE
http://www.vsantivirus.com/vul-ie-cookies-151104.htm

Por Angela Ruiz
angela@videosoft.net.uy


El Internet Explorer de Microsoft, posee una vulnerabilidad que permite que algunas cookies puedan ser sobrescritas bajo determinadas circunstancias. Una cookie es un archivo creado por un sitio Web, que almacena información del equipo, como las preferencias del usuario al visitar el sitio, etc.

El problema anunciado ocurre, porque el Internet Explorer falla al comprobar ciertas cadenas de caracteres cuando acepta determinadas cookies. Si la cookie aceptada posee un atributo PATH modificado en forma maliciosa, se podría sobrescribir otra cookie publicada por otro sitio, suplantándola.

Deben cumplirse ciertas condiciones para que el exploit pueda ser aprovechado satisfactoriamente, como por ejemplo que el nombre del dominio del objetivo contenga el nombre del dominio del atacante, o que la dirección IP del objetivo contenga la dirección IP del atacante.

La explotación exitosa del fallo, podría ayudar a un pirata informático a robar las sesiones Web y luego acceder a las mismas suplantando al usuario legítimo.

El problema fue comprobado en Internet Explorer 6.0 SP1.

La versión original del fallo fue anunciada en setiembre de 2003.


Soluciones

Si usted utiliza Windows XP instale el Service Pack 2, que no es afectado.

Para otros usuarios, una solución alternativa es cambiar la configuración del Internet Explorer para que muestre siempre una ventana de diálogo al aceptar una cookie. Para ello siga estos pasos:

1. En una ventana del Internet Explorer, seleccione Herramientas, Opciones de Internet.

2. Seleccione Privacidad, Opciones avanzadas

3. Marque la casilla "Sobrescribir la administración automática de cookies".

4. En la misma ventana, en "Cookies de origen", marque la opción "Pedir datos", y haga clic en el botón "Aceptar".


Créditos:

Keigo Yamazaki 


Fuente:

SNS Advisory No.79
A Possibility of Cookie Overwrite in Microsoft Internet Explorer
http://www.lac.co.jp/business/sns/intelligence/SNSadvisory_e/79_e.html


Reportado por:

(SNS) Security Advisory <snsadv_at_lac.co.jp>
Computer Security Laboratory, LAC http://www.lac.co.jp/security/





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS