Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Obtención de datos del usuario con history.back en IE
 
VSantivirus No. 1165 Año 7, Lunes 15 de setiembre de 2003

Obtención de datos del usuario con history.back en IE
http://www.vsantivirus.com/vul-historyback.htm

Por Angela Ruiz
angela@videosoft.net.uy

La función "history.back" de Internet Explorer, puede permitir a un atacante obtener información de un sitio cargado en un marco y dominio diferente.

La función "history", contiene información sobre las páginas visitadas anteriormente en la ventana de navegación y puede emplearse con los métodos back() y go(). El primero de ellos, que carece de parámetros, actúa como el botón atrás del navegador, volviendo a la página visitada anteriormente.

Microsoft Internet Explorer 5.01, 5.5, y 6.0 poseen una vulnerabilidad en el tratamiento de esta función, que permite a un atacante acceder a los datos del usuario referente a otro sitio. Esto incluye los cookies y posiblemente otra información confidencial.

La falla se produce bajo todas las versiones de Windows, y no hay ningún parche oficial al momento actual para la misma.

Esta es una de varias vulnerabilidades sin solución recientemente divulgadas en Internet.

Una solución sugerida es desactivar el Active Scripting, ActiveX, y sitios Web agregados, o utilizar la configuración sugerida en el siguiente artículo:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Es importante hacer notar que el método explicado aquí, se basa en la confianza a las páginas que son agregadas a la zona con menores restricciones, por lo que se recomienda habilitar como tal, solo aquellas que son visitadas regularmente.


Referencias:

Secunia Security Advisory 9711
Microsoft Internet Explorer Multiple Vulnerabilities
https://testzone.secunia.com/advisories/9711/

BugTraq Mailing List, Wed Sep 10 2003 - 00:08:18 CDT,
"MSIE->BackMyParent2:Multi-Thread version"
http://archives.neohapsis.com/archives/bugtraq/2003-09/0172.html

BugTraq Mailing List,
Wed Sep 10 2003 - 00:45:37 CDT, "MSIE->RefBack"
http://archives.neohapsis.com/archives/bugtraq/2003-09/0157.html


Otras vulnerabilidades relacionadas:

Barra multimedia en IE6 permite la ejecución de código
http://www.vsantivirus.com/vul-media-sidebar.htm

Ejecución de código con el asistente para búsquedas
http://www.vsantivirus.com/vul-navigateandfind.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS