<script type="text/jscript">
function init() {
document.write("The time is: " + Date() );

}
window.onload = init;
</script>

Una prueba de concepto está disponible en el siguiente enlace:

http://research.seniorennet.be/Techresearch
/Javascript_security_flaw_bug_ie_6/exploit_javascript_ie_6_bug.htm

Si el equipo es vulnerable, se verá en pantalla el resultado del script:

The time is now: [día, mes, fecha, hora y año actual]

Y lo mismo deberá ser visto en "Ver", "Código fuente", o botón derecho, "Ver código fuente", cuando en realidad el código, que es el ejemplo mostrado antes, no será visualizado.


Productos vulnerables:

- Microsoft Internet Explorer 6.0 SP2 y anteriores


Solución:

No existe una solución al momento de la publicación de esta alerta. Según el autor, Microsoft fue avisado el 7 de junio de 2005.

Se recomienda deshabilitar javascript en sitios que no son de confianza, o configurar IE como se sugiere aquí:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


NOTA:

Aunque se especula (tanto con el Internet Explorer, como con el Firefox), que esto podría ocasionar que algunos programas antivirus no llegaran a analizar bajo estas condiciones el código fuente para interceptar aquellos scripts que pudieran contener código malicioso (gusanos, troyanos, etc.), esto no es totalmente cierto, ya que ello depende del nivel al que se realice este análisis, el que siempre debería ser hecho antes de que llegue al navegador (al menos con el módulo IMON de NOD32 ello es lo que ocurriría).

El módulo IMON forma parte de los módulos de análisis en el acceso de NOD32, que actúan como filtro específico para las comunicaciones entre nuestro equipo e Internet, y contiene su propio subsistema para el análisis del tráfico HTTP evitando las infiltraciones que ocurren al acceder a páginas maliciosas o al descargar archivos.

En otros casos, sobre todo como complemento de otras técnicas de phishing, tal vez si puedan existir más posibilidades de que esta vulnerabilidad llegue a ser utilizada, aunque no está claro como afectaría su interacción con el usuario.

Sobre NOD32: Video Soft, empresa creadora del sitio VSAntivirus, representa de forma exclusiva en Uruguay al antivirus NOD32 (marca registrada de Eset). Más información: http://www.nod32.com.uy/


Créditos:

Pascal Vyncke <development@seniorennet.be>


Referencias:

Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174 
http://securitytracker.com/id?1014174


Actualizaciones:

* 12/06/05

Se ha informado que además de Internet Explorer, tienen este error los siguientes productos:

- Opera 7.54 (y anteriores)
- Opera 8.x

Sin embargo, según Seniorennet.be, aunque Opera tiene este fallo, no representa en este caso un riesgo de seguridad.

* Firefox vulnerable

A pesar de que Seniorennet afirma también que no serían vulnerables las versiones actuales de Firefox y Netscape, CyruxNET ha publicado un artículo que que demuestra que una variante del exploit original puede afectar a Firefox. Más detalles en el siguiente enlace:

Ocultamiento de scripts en Firefox (JavaScript Ghost)
http://www.vsantivirus.com/vul-firefox-script-120606.htm

Más información:

WARNING: Javascript bug IE 6
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6
/security_flaw_bug_javascript_ie_6_internet_explorer.php






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com