Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Acceso no autorizado a documentos XML con IE
 
VSantivirus No. 1557 Año 8, lunes 11 de octubre de 2004

 Acceso no autorizado a documentos XML con IE
http://www.vsantivirus.com/vul-ie-xml-101004.htm

Por Angela Ruiz
angela@videosoft.net.uy

Según publica Secunia, el conocido investigador Georgi Guninski ha reportado la reaparición de una vulnerabilidad que había sido descubierta y solucionada por Microsoft dos años atrás. La misma, puede ser explotada por usuarios maliciosos para revelar información crítica.

La vulnerabilidad es causada por insuficientes restricciones de "sitios cruzados" (un "cross-site" ocurre cuando un dominio o sitio de Internet, puede obtener los permisos de otro, o de una zona de seguridad menos restrictiva). En este caso, ello ocurre cuando se manipulan documentos XML bajo ciertas situaciones.

Esto puede ser usado por un sitio web malicioso para acceder en forma arbitraria a documentos XML en otros servidores o equipos, en el contexto de la sesión del usuario actual.

Este fallo, había sido solucionado por Microsoft en febrero de 2002, y aparentemente el ahora detectado, se trata de una regresión de aquél (ello puede ocurrir cuando un parche o actualización deshabilita parches anteriores). No existe respuesta de Microsoft sobre el tema.

Son afectados Microsoft Internet Explorer 5.01, 5.5 y 6.0 (incluido Windows XP y XP SP1).

Se sugiere desactivar el soporte de Active Scripting, o utilizar la configuración descripta en el siguiente enlace:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Al momento actual, no hay información que este problema afecte al SP2 de Windows XP.


Créditos: GreyMagic Software, Georgi Guninski

Relacionados:

GreyMagic Security Advisory GM#009-IE
www.greymagic.com/security/advisories/gm009-ie/

Georgi Guninski security advisory #71, 2004
www.guninski.com/where_do_you_want_billg_to_go_today_1.html

Microsoft Internet Explorer Disclosure of Sensitive XML Information
http://secunia.com/advisories/12765/





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS