Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ocultamiento de scripts en Internet Explorer
 
VSantivirus No. 1801 Año 9, domingo 12 de junio de 2005

Ocultamiento de scripts en Internet Explorer
http://www.vsantivirus.com/vul-ie-script-110606.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se ha reportado una vulnerabilidad en Microsoft Internet Explorer, que permite a un usuario remoto ocultar código script contenido en una página web.

La vulnerabilidad es conocida como "JavaScript Ghost bug".

El problema se produce porque el IE no procesa correctamente ciertos códigos en javascript. Un usuario remoto puede crear un archivo HTML modificado maliciosamente para que cuando la página sea cargada por el usuario, éste no pueda ver ese código si invoca la opción "Ver" -> "Código fuente".

En lugar de mostrar el código HTML original con el script involucrado, el Internet Explorer muestra el resultado de la ejecución del código javascript.

El siguiente ejemplo ha sido publicado en Internet:

<script type="text/jscript">
function init() {
document.write("The time is: " + Date() );

}
window.onload = init;
</script>

Una prueba de concepto está disponible en el siguiente enlace:

http://research.seniorennet.be/Techresearch
/Javascript_security_flaw_bug_ie_6/exploit_javascript_ie_6_bug.htm


Si el equipo es vulnerable, se verá en pantalla el resultado del script:

The time is now: [día, mes, fecha, hora y año actual]

Y lo mismo deberá ser visto en "Ver", "Código fuente", o botón derecho, "Ver código fuente", cuando en realidad el código, que es el ejemplo mostrado antes, no será visualizado.


Productos vulnerables:

- Microsoft Internet Explorer 6.0 SP2 y anteriores


Solución:

No existe una solución al momento de la publicación de esta alerta. Según el autor, Microsoft fue avisado el 7 de junio de 2005.

Se recomienda deshabilitar javascript en sitios que no son de confianza, o configurar IE como se sugiere aquí:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


NOTA:

Aunque se especula (tanto con el Internet Explorer, como con el Firefox), que esto podría ocasionar que algunos programas antivirus no llegaran a analizar bajo estas condiciones el código fuente para interceptar aquellos scripts que pudieran contener código malicioso (gusanos, troyanos, etc.), esto no es totalmente cierto, ya que ello depende del nivel al que se realice este análisis, el que siempre debería ser hecho antes de que llegue al navegador (al menos con el módulo IMON de NOD32 ello es lo que ocurriría).

El módulo IMON forma parte de los módulos de análisis en el acceso de NOD32, que actúan como filtro específico para las comunicaciones entre nuestro equipo e Internet, y contiene su propio subsistema para el análisis del tráfico HTTP evitando las infiltraciones que ocurren al acceder a páginas maliciosas o al descargar archivos.

En otros casos, sobre todo como complemento de otras técnicas de phishing, tal vez si puedan existir más posibilidades de que esta vulnerabilidad llegue a ser utilizada, aunque no está claro como afectaría su interacción con el usuario.

Sobre NOD32: Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/



Créditos:

Pascal Vyncke <development@seniorennet.be>


Referencias:

Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174 
http://securitytracker.com/id?1014174


Actualizaciones:

* 12/06/05

Se ha informado que además de Internet Explorer, tienen este error los siguientes productos:

- Opera 7.54 (y anteriores)
- Opera 8.x

Sin embargo, según Seniorennet.be, aunque Opera tiene este fallo, no representa en este caso un riesgo de seguridad.

* Firefox vulnerable

A pesar de que
Seniorennet afirma también que no serían vulnerables las versiones actuales de Firefox y Netscape, CyruxNET ha publicado un artículo que que demuestra que una variante del exploit original puede afectar a Firefox. Más detalles en el siguiente enlace:

Ocultamiento de scripts en Firefox (JavaScript Ghost)
http://www.vsantivirus.com/vul-firefox-script-120606.htm


Más información:

WARNING: Javascript bug IE 6
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6
/security_flaw_bug_javascript_ie_6_internet_explorer.php







(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS