dunanea

Puntos: 66.901, Nivel: 100

Actividad: 99%

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Microsoft Explorer 6 es vulnerable a que un sitio web construido maliciosamente, pueda eludir las restricciones para obtener información de ventanas pertenecientes a diferentes dominios (cross-domain). Esto puede permitir que un usuario remoto no autenticado, pueda acceder al contenido de una página web que el usuario esté visitando.

La seguridad implementada en Internet Explorer, debería garantizar que las ventanas del navegador que se encuentren bajo el control de diferentes sitios web, no puedan interferir entre ellas ni acceder a los datos relacionados con cada una de las mismas, pero si que pueda existir cierta interactividad entre ellas.

Para diferenciar este tipo de interactividad con la posibilidad de no interferir entre diferentes ventanas abiertas, se ha creado el concepto "dominio". Un dominio es un límite de seguridad, las ventanas abiertas dentro del mismo dominio pueden interactuar entre sí, pero las ventanas de diferentes dominios no pueden hacerlo.

Internet Explorer 6 no aplica correctamente este modelo de seguridad cuando la ubicación de una página es modificada mediante el uso de un determinado objeto. Una prueba de concepto que demuestra esta vulnerabilidad se ha hecho pública.

Un atacante podría sacar provecho de la misma, por el simple hecho de convencer al usuario a visualizar un determinado documento HTML (una página web o un correo electrónico con formato HTML). Si el ataque es exitoso, el delincuente puede obtener acceso al contenido web de otro dominio (por ejemplo, acceder al contenido de la página de acceso a una institución bancaria, cuenta de correo vía web, etc.)

No se conocen soluciones apropiadas para este problema al momento de publicarse esta alerta. Cómo la misma no afecta a Internet Explorer 7, se aconseja a los usuarios de IE6 actualizarse a IE7.

También puede mitigarse esta vulnerabilidad, configurando Internet Explorer 6 como describimos en el siguiente artículo de VSAntivirus.com:

Configuración personalizada para hacer más seguro el IE
Configuración personalizada para hacer más seguro el IE


Referencias:

Vulnerability Note VU#923508
Microsoft Internet Explorer 6 contains a cross-domain vulnerability
US-CERT Vulnerability Notes

CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
CERT Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests

Internet Explorer 6 Window "location" Handling Vulnerability
Internet Explorer 6 Window "location" Handling Vulnerability - Advisories - Secunia


Créditos:

Ph4nt0m Security Team








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus

__________________

To view links or images in signatures your post count must be 10 or greater. You currently have 0 posts.


"Comienza tu día con una sonrisa, verás lo divertido que es ir por ahí desentonando con todo el mundo."