1. La vulnerabilidad "Browser Print Template"
2. La vulnerabilidad "File Upload via Form"
3. Una nueva variante de la vulnerabilidad "Scriptlet Rendering"
4. Una nueva variante de la vulnerabilidad "Frame Domain Verification"

a.   La vulnerabilidad "Browser Print Template"

Esta vulnerabilidad podría permitirle a un operador de un sitio web malévolo, realizar acciones desautorizadas en la computadora del usuario visitante, dándole la posibilidad de ejecutar comandos de ActiveX que normalmente están desactivados al acceder a un sitio web. Estas acciones podrían permitirle agregar, cambiar o borrar archivos, intercambiar archivos con un sitio web, etc. 

Esta vulnerabilidad, generada a partir de la implementación de un formulario para imprimir en el sitio Web, solo podría ser usada si existe un control ActiveX disponible para esa acción, y solo afecta al IE 5.5, ya que utiliza sus facultades para previsualizar lo que se va a imprimir.

Por diseño, el permiso de previsualizar lo da el usuario, pero a través de este agujero, se permitía a un sitio web, ejecutar esta acción sin la aprobación de aquél. Sin embargo, muchas de las acciones posteriores, deberían igualmente ser aprobadas por el usuario.

Es bueno hacer notar que si la seguridad de la zona Internet en el IE, tiene deshabilitada la ejecución de controles ActiveX marcados como seguros, esta vulnerabilidad no puede ser explotada, ni aún sin el parche.

b.    La vulnerabilidad "File Upload via Form"

Esta vulnerabilidad permitía a un sitio malicioso descargar archivos de cualquier tipo o tamaño de la computadora del visitante hacia el sitio Web. Sin embargo, el atacante debería saber el nombre y la ubicación de estos archivos para hacerlo.

Para ello, el usuario debería llenar un formulario, en el que se adjuntaría el nombre del archivo. Esto lo podría hacer engañado, y sin su conocimiento. La vulnerabilidad ocurre al no estar debidamente protegido el elemento INPUT con el atributo TYPE seteado a FILE (INPUT TYPE=FILE), para no poder ser modificado a través de un script.

Esta opción está implementada para permitir a un usuario subir archivos a un sitio Web. La falla, podía hacer que el sitio Web agregara el texto, y procediera a sacar el archivo de la computadora atacada. Sin embargo, esto solo podría hacerse con archivos y ubicaciones que conociera, ya que para él es imposible listar los archivos disponibles.

Note que el usuario estaría escribiendo cualquier otro dato que el formulario le pidiera, y en realidad, el script, estaría creando el nombre del archivo a subir, con cada tecla pulsada. Pero reiteramos, para que el ataque o robo de archivo ocurriera, el atacante debería adivinar o conocer de antemano el nombre y ubicación exacta del archivo que deseaba descargar. El riesgo está en que ciertos archivos tienen un nombre y ubicación preestablecidos por Windows. El ataque está limitado a un solo archivo por cada formulario.

c.    Una nueva variante de la vulnerabilidad "Scriptlet Rendering"

Esta falla, permite al operador de un sitio Web malicioso, ver los archivos de la computadora de un visitante. Pero para ello necesita saber el nombre y la ubicación de los mismos, y solo podrá ver los archivos abiertos en la ventana del navegador, incluso archivos en formatos diferentes al HTML.

La primera versión de esta vulnerabilidad, lo hacía por medio de controles de ActiveX, esta lo hace por medio del "tag" "OBJECT" en un script. El parche elimina ambas vulnerabilidades.

d.   Una nueva variante de la vulnerabilidad "Frame Domain Verification"

Esta falla también permite la visualización de archivos en la computadora de un visitante cuando este visita un sitio web malévolo. Como la anterior, el atacante deberá saber el nombre y ubicación del archivo, este solo podrá ser visto si es abierto con el explorador.

La variante anterior era prácticamente igual, pero diferentes en los objetos involucrados. El parche elimina ambas vulnerabilidades.

El parche mencionado, cubre las cuatro vulnerabilidades.

Versiones afectadas:

Microsoft Internet Explorer 5.x

Ubicación de los parches:

http://www.microsoft.com/windows/ie/download/critical/279328.htm

Más información:

http://www.microsoft.com/technet/security/bulletin/ms00-093.asp

Si desea bajar directamente los parches:

Internet Explorer 5.5 (1.8Mb)
Internet Explorer 5.5 SP1 (1.8Mb)
Internet Explorer 5.01 SP1 (1.8Mb)


Nota: Estos parches NO corrigen las vulnerabilidades descriptas en nuestros boletines VSantivirus No. 136 - Año 4 - Martes 21 de noviembre de 2000, "Ejecución peligrosa de archivos CHM en el IE 5.5" y VSantivirus No. 139 - Año 4 - Viernes 24 de noviembre de 2000, "Segunda vulnerabilidad del IE 5.5 en la misma semana" (OBJECT TYPE="text/html").