Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Cuelgue y ejecución de archivos en Internet Explorer
 
VSantivirus No. 1045 Año 7, Domingo 18 de mayo de 2003

 Cuelgue y ejecución de archivos en Internet Explorer
http://www.vsantivirus.com/vul-200frames2.htm

Por Jose Luis Lopez
videosoft@videosoft.net.uy


Un problema en la forma en que el Microsoft Internet Explorer maneja un gran número de solicitudes de descargas de archivos, puede resultar en la ejecución arbitraria de código en un sistema vulnerable.

Cuando el Internet Explorer (IE) procesa un documento HTML conteniendo marcos (elementos FRAME o IFRAME), si ese marco especifica como fuente un archivo ejecutable (.exe), una ventana de diálogo se presenta al usuario preguntando si se desea ejecutar el archivo, grabarlo, o cancelar la operación.

Si se procesa un documento HTML que contenga una gran cantidad de estos marcos, el IE falla al aplicar las restricciones de seguridad normales, y ejecuta el archivo especificado sin ninguna intervención por parte del usuario. Además, lo hace en la zona de seguridad local, donde no hay restricciones para el uso de otros códigos normalmente bloqueados cuando se navega por Internet (ActiveX, etc.).

Un atacante puede convencer a un usuario a visitar una página Web especialmente preparada, o enviar por correo un mensaje con formato HTML, para provocar la ejecución de un virus, o cualquier otra clase de software usado con la intención de provocar algún tipo de daño.

En uno de nuestros artículos anteriores, mencionábamos esta extraña falla, y su dificultad para explotarla "en el mundo real" (ver "Extraña falla del IE, pero solo para porfiados", http://www.vsantivirus.com/vul-200frames.htm). Si bien actualmente se puede conseguir en la red información para aprovecharse de la misma, bajo circunstancias normales su explotación termina ocasionando el cuelgue del programa por agotamiento de recursos, antes de poder llegar a ejecutarse el código asociado. Esto es así porque se requieren casi 200 marcos abiertos para que la falla se produzca.

Aún no hay parches de parte de Microsoft para esta vulnerabilidad.


Relacionados

Extraña falla del IE, pero solo para porfiados
http://www.vsantivirus.com/vul-200frames.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS