Falla en IE permite robar cookies, leer archivos, etc.

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

VSantivirus No. 534 - Año 6 - Lunes 24 de diciembre de 2001

Falla en IE permite robar cookies, leer archivos, etc.
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

La falla fue probada en Internet Explorer 5.5 y 6.0 con actualizaciones Q312461, Q240308 y Q313675.

Un usuario remoto, puede crear una página HTML conteniendo código (scripting), que permita leer los archivos en los discos locales de la víctima, robar sus galletas o cookies, o simular falsos sitios Web.

El script debe usar el método "document.open" sin utilizar el de "document.close".

El código es ejecutado por medio de la visita a un sitio Web malicioso, o la descarga de un mensaje con formato HTML.

Microsoft fue notificado de la falla, pero su descubridor (www.osioniusx.com) aún no ha recibido respuesta sobre una posible solución.

Los sistemas vulnerables son Windows 95, 98, 98 SE, NT, 2000 y XP.

Ejemplos de la falla en: http://www.osioniusx.com

cookieStealing.html - Abre Yahoo.com y roba su cookie.

FileReading.html - Abre C:\test.txt y lo lee.

SiteSpoofing.html - Simula ser el sitio www.chase.com, mostrando eso en su URL, y en el título de la ventana.

La solución oficial no está disponible aún. Puede disminuirse su riesgo, deshabilitando las opciones de scripting del IE, poniendo la seguridad en ALTA. Para ello, vaya a Panel de control, Opciones de Internet. Pulse en la lengüeta Seguridad y en Internet, seleccione ALTO. Sin embargo muchos sitios tal vez no funcionen correctamente cuando usted navegue.

Fuente:
http://www.osioniusx.com

Futura información oficial:
http://www.microsoft.com/technet/security/

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com