Controlado desde el
19/10/97 por NedStat
|
| Autoejecución de código en archivos HTML con IE
|
| |
VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003
Autoejecución de código en archivos HTML con IE
http://www.vsantivirus.com/vul-mhtml-file.htm
Aviso de seguridad: Autoejecución de código en archivos HTML con Internet Explorer
Fecha original: 25/feb/03, 1/mar/03
Aplicación vulnerable: Todas las versiones del IE 5.x y 6.x
Severidad: Alta
Riesgo: Grande
Fabricante: Microsoft
Una nueva vulnerabilidad recientemente descubierta en el Internet Explorer, permite que por medio de un script, se pueda ejecutar un programa embebido en un documento HTML.
Al ser un archivo HTML, el mismo será abierto y procesado por defecto, por el Internet Explorer.
Cuando el script es procesado, el ejecutable empotrado en el documento se ejecuta en el área de seguridad actual del Explorer.
De ese modo, un operador Web malicioso podría incluir en una página un archivo maligno, que se ejecutaría en el entorno de seguridad local, menos restrictivo que el usado para navegar.
Un escenario similar, podría ser preparado por un malware (virus o troyano), incluso a través de mensajes de correo electrónico con formato HTML.
El mayor peligro de esta falla, está en que el Internet Explorer no muestra ninguna advertencia al ejecutar un archivo bajo esas condiciones.
Microsoft fue avisado de la falla, pero no existe aún una solución. Debido a que esta advertencia y un ejemplo para explotar la falla, ya han sido publicadas en Internet, es que advertimos de la misma a nuestros lectores.
Son vulnerables las siguientes versiones del Explorer:
- Microsoft Internet Explorer 5.0
- Microsoft Internet Explorer 5.5 SP2
- Microsoft Internet Explorer 5.5 SP1
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6.0 SP1
- Microsoft Internet Explorer 6.0
Fuente: http://www.securityfocus.com/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
