|
|
IE: Ofuscación de URI en panel de búsqueda
|
| |
VSantivirus No. 1619 Año 8, domingo 12 de diciembre de 2004
IE: Ofuscación de URI en panel de búsqueda
http://www.vsantivirus.com/vul-ie-uri-111204.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad que provoca la ofuscación de un URI en el panel de búsqueda, ha sido detectada en Internet Explorer. El problema ocurre por un fallo de la aplicación al presentar el URI contenido en un HTML con código script, cuando es cargado en el panel de búsqueda.
URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.).
Esta debilidad puede servir a un atacante para mostrar información falsificada en la barra de direcciones del navegador, al cargar un sitio Web de terceros en el panel de búsqueda.
El atacante puede entonces presentarle al usuario páginas web maliciosas, haciéndole creer que pertenecen a un sitio de confianza, aplicando de ese modo técnicas de phishing (suplantación de un sitio o persona real para obtener información confidencial, como datos de tarjetas de crédito, cuentas bancarias, contraseñas, etc.).
Otras clases de ataques también pueden ser posibles.
No se requiere ningún exploit para tomar ventaja de este fallo, y se ha publicado un script que reproduce el mismo.
Software vulnerable:
- Microsoft Internet Explorer 6.0 SP2
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
Solución
Al momento actual no existe ningún parche publicado para este problema.
Créditos:
http-equiv
Referencias:
Address Bar Spoophing for the Pheeshies: IntotheNet Explorer 6
http://www.securityfocus.com/archive/1/383717
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
