Resultados 1 al 5 de 5

Tema: Nueve (9) nuevas vulnerabilidades en Internet Explorer 5.x y 6.0

  1. #1 Nueve (9) nuevas vulnerabilidades en Internet Explorer 5.x y 6.0 
    Moderador HH
    Fecha de ingreso
    Feb 2002
    Ubicación
    México
    Mensajes
    1.155
    Descargas
    4
    Uploads
    0
    Se ha informado, en la lista BugTraq, del descubrimiento de nueve (9) nuevas vulnerabilidades en Internet Explorer 5.5 y 6.0. Todas las vulnerabilidades surgen de deficiencias en los mecanismos de seguridad que Internet Explorer utiliza para verificar la transferencia de datos entre diversas ventanas.
    Hace unos días (ver "Una al día" del pasado 15 de octubre) se informó de la existencia de una vulnerabilidad en los mecanismos de protección que impone Internet Explorer a la transferencia de datos entre dos ventanas.

    Básicamente, Internet Explorer realiza unas verificaciones para comprobar que la comunicación de datos se realiza entre ventanas que se encuentran dentro de la misma zona de seguridad y en el mismo dominio.

    Las investigaciones efectuadas por la empresa israelita GreyMagic Software han puesto de relieve la existencia de un total de nueve (9) nuevas vulnerabilidades que pueden ser utilizadas para acceder a cookies, suplantar el contenido de páginas web, acceso en modalidad de lectura a archivos del ordenador del usuario de Internet Explorer o, incluso, la ejecución de programas.

    Todas estas vulnerabilidades están relacionadas con el tratamiento de los objetos cacheados y muchas de ellas pueden clasificarse como críticas. El cacheado de objetos tiene lugar cuando el atacante abre una ventana con una página que se encuentra en su servidor web. A continuación se modifica la URL de esta ventana para que haga referencia a una página almacenada en el ordenador de la víctima. No obstante, las referencias presentes en la caché continúan activas, ofreciendo un acceso directo al nuevo documento.

    Los siguientes métodos tienen vulnerabilidades que permiten al atacante acceder a cualquier archivo existente en el disco duro del usuario de Internet Explorer, ejecutar programas, suplantar el contenido de páginas web o leer el contenido de las cookies:

    1. showModalDialog (en Internet Explorer 6.0 el acceso queda restringido a la zona "Mi PC").
    2. external
    3. createRange
    4. elementFromPoint
    5. getElementById
    6. getElementsByName
    7. getElementsByTagName

    Existen dos procedimientos adicionales en los que también se han identificado vulnerabilidades:

    1. execCommand: permte leer el contenido de otras ventanas abiertas.
    2. clipboardData: permite leer y escribir en el portapapeles.

    Todos estos problemas afectan a las versiones 5.x y 6.0 del Internet Explorer. Las versiones más anteriores, así como la versión 6.0 con Service Pack 1 no son vulnerables.

    GreyMagic Software ha publicado una prueba de concepto que muestra el efecto de estas vulnerabilidades.

    Opina sobre esta noticia: http://www.hispasec.com/unaaldiacom.asp?id=1460

    Más información

    GreyMagic Security Advisor: Vulnerable cached objects in IE (9 advisories in 1)
    http://sec.greymagic.com/adv/gm012-ie/

    Prueba de concepto
    http://sec.greymagic.com/adv/gm012-ie/vobjcache.asp

    Una al día (15-10-02): Salto de restricciones iframe en Microsoft Internet Explorer 5.5 y 6.0
    http://www.hispasec.com/unaaldia.asp?id=1451

    Una al día (13-09-02): Services Pack para Internet Explorer 6.0 y Windows XP
    http://www.hispasec.com/unaaldia.asp?id=1419

    Avís de seguretat: nou (9) vulnerabilitats noves a l'Internet Explorer 5.x i 6.0
    http://www.quands.info/alertes/html/...d-objects.html


    Xavier Caballé
    xavi@hispasec.com
    Mientras el mundo permanezca no acabarán la fama y la gloria de México-Tenochtitlan
    Citar  
     

  2. #2  
    Administrador Foros HH
    Fecha de ingreso
    Nov 2001
    Ubicación
    Spain
    Mensajes
    2.234
    Descargas
    0
    Uploads
    0
    si lo q no tenga el IE xD...
    Todos desean saber, pero pocos pagar el trabajo que vale.

    [[NORMAS DEL FORO]]
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Apr 2002
    Ubicación
    Madrid
    Mensajes
    303
    Descargas
    0
    Uploads
    0
    esto mas q un navegador d internet, es un colador, por la cantidad d agujeros, q tiene, alguna vez MICRO$OFT sacara, algo q sea perfecto?? yo creo q no.... en fin
    saludos
    =A=NGELOTE®
    Citar  
     

  4. #4 jiji no pides tu na... 
    Avanzado
    Fecha de ingreso
    Dec 2001
    Ubicación
    127.0.0.1
    Mensajes
    1.526
    Descargas
    1
    Uploads
    0
    algo q sea perfecto ... xDDDD . a ver q tas hablando de microsoft !!! son 2 terminos incompatibles...
    SALU2
    Citar  
     

  5. #5  
    Avanzado
    Fecha de ingreso
    Apr 2002
    Ubicación
    Madrid
    Mensajes
    303
    Descargas
    0
    Uploads
    0
    vamos q quieres decir q: MICRO$OFT= mierda incompatible, con muxos fallos
    es eso??? jajaja, no si tienes razon yolo apoyo, anda q no he tenio yo problemas con los ventanukos, pero weno....
    saludos
    =A=NGELOTE®
    Citar  
     

Temas similares

  1. Se abren ventanas nuevas de internet
    Por Fran en el foro WINDOWS
    Respuestas: 4
    Último mensaje: 15-11-2005, 18:56
  2. Nuevas vulnerabilidades en Mozilla Firefox
    Por Giskard en el foro VULNERABILIDADES
    Respuestas: 4
    Último mensaje: 30-03-2005, 15:45
  3. Respuestas: 2
    Último mensaje: 14-07-2004, 20:55
  4. Respuestas: 0
    Último mensaje: 12-04-2004, 11:22
  5. Respuestas: 0
    Último mensaje: 24-11-2002, 16:06

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •