Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Internet Explorer expone componentes instalados
 
VSantivirus No. 1219 Año 8, Sábado 8 de noviembre de 2003

Internet Explorer expone componentes instalados
http://www.vsantivirus.com/vul-ie-clsid-detect.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Una vulnerabilidad en el Internet Explorer 6.0 de Microsoft, permite a terceros comprobar los componentes instalados en la computadora del usuario, a través de documentos HTML construidos maliciosamente (requiere el acceso a un sitio web).

El problema ocurre porque el Internet Explorer da por supuesto que ciertos componentes pueden ser detectados en forma remota. Sin embargo, cualquier componente y su versión puede ser detectado averiguando su CLSID, por medio de las funciones "getComponentVersion" e "isComponentInstalled".

COM (modelo de objetos componentes por sus siglas en inglés), es un modelo de programación orientada a objetos que define cómo interactúan los objetos con una única aplicación o entre distintas aplicaciones. CLSID, es un identificador de clase (identificador universal exclusivo, UUID), que identifica un componente COM. Cada componente COM tiene su CLSID en el registro de Windows de forma que otras aplicaciones puedan cargarlo.

Esta falla podría ser explotada para comprobar si cualquier componente vulnerable está instalado en el equipo, para luego actuar con otra clase de código malicioso.

La vulnerabilidad (que no es crítica), ha sido reportada en Internet Explorer 6.0.2800.1106 (Windows XP SP1), pero otras versiones pueden ser afectadas.

La solución, es deshabilitar el Active Scripting (o configurar el IE como se explica en el siguiente artículo:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Créditos: Sam Schinke


Relacionados:

Detectable Components in Internet Explorer:
http://msdn.microsoft.com/workshop/author/behaviors
/reference/methods/detectable.asp






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS