|
Descargas sin advertencia de seguridad en IE
|
|
VSantivirus No. 1657 Año 9, miércoles 19 de enero de 2005
Descargas sin advertencia de seguridad en IE
http://www.vsantivirus.com/vul-ie-180105.htm
Por Angela Ruiz
angela@videosoft.net.uy
Se ha reportado que Microsoft Internet Explorer posee una debilidad que permite eludir la advertencia de seguridad cuando se descarga un archivo de Internet.
El problema, puede ser explotado por gente maliciosa para intentar la descarga de archivos potencialmente peligrosos en el equipo del usuario afectado, por medio de un documento HTML conteniendo etiquetas BODY e IFRAME dinámico, especialmente modificadas.
Un atacante puede engañar a un usuario para que visite un sitio en Internet con una página conteniendo el exploit, de tal modo que termine instalándose código no deseado en el equipo de la víctima, aunque para que ello suceda, se requiere cierta interacción de su parte.
Esta debilidad podría combinarse con otras del navegador o del sistema operativo, para llevar a cabo ataques más complejos.
Microsoft no lo considera una vulnerabilidad, ya que aunque no aparezca ninguna advertencia de seguridad la ventana de confirmación de descarga igual será mostrada, requiriendo que el usuario confirme la descarga de cualquier archivo en su equipo.
Se ha publicado en Internet una prueba de concepto.
En VSAntivirus, no hemos podido replicar el fallo, y tampoco lo consideramos un riesgo serio, mientras el usuario siga las conductas normales de no ejecutar archivos descargados de Internet sin examinarlos antes con uno o más antivirus actualizados. Tampoco debería aceptar la descarga de archivos, cuando la ventana de descarga aparezca sin que se haya seleccionado expresamente un enlace para ello, aún cuando dicha ventana no advierta lo peligroso que es descargar ciertos archivos.
No se han publicado actualizaciones al momento de este artículo.
Productos afectados:
- Microsoft Internet Explorer 6.0 SP2
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
Comprobado en Windows 98, Windows 98SE, Windows ME, Windows NT, Windows 2000, Windows XP (Sp1 y SP2) y Windows Server 2003, todos con las últimas actualizaciones y parches.
Créditos:
Rafel Ivgi, The-Insider <theinsider@012.net.il>.
Más información:
Remote File Download Information Bar Bypass
http://theinsider.deep-ice.com/texts/advisory68.txt
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|