|
|
|||||||
| Registrarse | Preguntas Frecuentes | Top Posters | Lista de Miembros | Calendario | Marcar Foros Como Leídos | vBExperience |
 |
|
|
LinkBack | Herramientas | Desplegado |
28/06/08, 08:41:36
|
#1 (permalink) | ||||||
|
Super Moderador@s
Fecha de Ingreso: sep 2007
Ubicación: En algún lugar de las Islas Afortunadas
Mensajes: 1.769
Agradecimientos: 43
Agradecido 73 Veces en 63 Posts
|
Vulnerabilidad "cross-domain" en Internet Explorer 6
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy Microsoft Explorer 6 es vulnerable a que un sitio web construido maliciosamente, pueda eludir las restricciones para obtener información de ventanas pertenecientes a diferentes dominios (cross-domain). Esto puede permitir que un usuario remoto no autenticado, pueda acceder al contenido de una página web que el usuario esté visitando. La seguridad implementada en Internet Explorer, debería garantizar que las ventanas del navegador que se encuentren bajo el control de diferentes sitios web, no puedan interferir entre ellas ni acceder a los datos relacionados con cada una de las mismas, pero si que pueda existir cierta interactividad entre ellas. Para diferenciar este tipo de interactividad con la posibilidad de no interferir entre diferentes ventanas abiertas, se ha creado el concepto "dominio". Un dominio es un límite de seguridad, las ventanas abiertas dentro del mismo dominio pueden interactuar entre sí, pero las ventanas de diferentes dominios no pueden hacerlo. Internet Explorer 6 no aplica correctamente este modelo de seguridad cuando la ubicación de una página es modificada mediante el uso de un determinado objeto. Una prueba de concepto que demuestra esta vulnerabilidad se ha hecho pública. Un atacante podría sacar provecho de la misma, por el simple hecho de convencer al usuario a visualizar un determinado documento HTML (una página web o un correo electrónico con formato HTML). Si el ataque es exitoso, el delincuente puede obtener acceso al contenido web de otro dominio (por ejemplo, acceder al contenido de la página de acceso a una institución bancaria, cuenta de correo vía web, etc.) No se conocen soluciones apropiadas para este problema al momento de publicarse esta alerta. Cómo la misma no afecta a Internet Explorer 7, se aconseja a los usuarios de IE6 actualizarse a IE7. También puede mitigarse esta vulnerabilidad, configurando Internet Explorer 6 como describimos en el siguiente artículo de VSAntivirus.com: Configuración personalizada para hacer más seguro el IE Configuración personalizada para hacer más seguro el IE Referencias: Vulnerability Note VU#923508 Microsoft Internet Explorer 6 contains a cross-domain vulnerability US-CERT Vulnerability Notes CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests Internet Explorer 6 Window "location" Handling Vulnerability Internet Explorer 6 Window "location" Handling Vulnerability - Advisories - Secunia Créditos: Ph4nt0m Security Team (c) Video Soft - Video Soft (c) VSAntivirus - VSAntivirus
__________________
"Comienza tu día con una sonrisa, verás lo divertido que es ir por ahí desentonando con todo el mundo." 
|
||||||
|
    
|
|
| Herramientas | |
| Desplegado | |
|
|
Temas Similares
|
||||
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Vulnerabilidad en Internet Explorer 7 al imprimir páginas desde el navegador | razor | Noticias Seguridad Informática | 0 | 23/05/08 14:30:15 |
| Service Pack 3 dificulta desinstalación de Internet Explorer 7 | razor | Nuevos programas y Aplicaciones | 0 | 14/05/08 14:56:55 |
| Las mejores extensiones de Internet Explorer | dunanea | Nuevos programas y Aplicaciones | 0 | 14/02/08 19:36:05 |
| Los últimos días del Internet Explorer 6 | dunanea | Noticias Seguridad Informática | 0 | 22/01/08 14:45:39 |
| Internet Explorer 8 | razor | Nuevos programas y Aplicaciones | 0 | 07/12/07 15:14:38 |
Mode Lineal
