Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en control ActiveX HHCTRL, en IE
 
VSantivirus No. 1575 Año 8, viernes 29 de octubre de 2004

 Vulnerabilidad en control ActiveX HHCTRL, en IE
http://www.vsantivirus.com/vul-ie-hhctrl004.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha reportado una vulnerabilidad en el Internet Explorer, que puede ser utilizada por piratas informáticos para provocar un ataque del tipo CROSS-SITE-SCRIPTING (XSS).

Este tipo de ataque permite a un usuario remoto introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado en la máquina de la víctima, y en el contexto de un dominio exterior.

La vulnerabilidad se produce en el control ActiveX llamado HHCTRL.

No existe solución de parte de Microsoft, y está disponible una prueba de concepto (PoC) en Internet.

El fallo afecta a Microsoft Internet Explorer 6.0 con SP2 instalado.

Se sugiere utilizar la siguiente configuración, que previene se puedan producir ataques maliciosos que intenten aprovecharse de esta vulnerabilidad:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Créditos: Roozbeh Afrasiabi

Referencias:

Microsoft Internet Explorer HHCtrl ActiveX Control Cross-Domain Scripting Vulnerability
http://www.securityfocus.com/bid/11521/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS