Resultados 1 al 3 de 3

Tema: Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

  1. #1 Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    4.984
    Descargas
    178
    Uploads
    246
    Microsoft publica una actualización acumulativa para Internet Explorer
    en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
    vulnerabilidades entre las que se incluyen la ya famosa de
    falsificación de URLs.


    Con este parche Microsoft rompe su norma de publicar las
    actualizaciones el segundo martes de cada mes, lo cual indica la
    gravedad que los problemas corregidos suponen para la propia
    Microsoft.

    El primero de los problemas corregidos es la conocida vulnerabilidad
    de ocultación y falsificación de URLs, utilizada en los últimos
    tiempos en varias estafas de banca online como el caso del Banco
    Popular que ya denunciamos en este servicio y del cual demostramos su
    importancia en varios test que evidenciaban la gravedad del problema.

    La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
    URLs que contienen caracteres especiales. Cuando se combinaba con una
    forma de autenticación básica de la forma "usuario:contraseña@" al
    comienzo de la URL, un atacante podía lograr construir un enlace de
    forma que al seleccionarlo el usuario visualizara una URL concreta en
    la barra de direcciones de Internet Explorer, cuando en realidad se
    visitaba un sitio web diferente.

    Si no sabeis de que va esta vulnerabilidad, teneis info en:
    http://www.hispasec.com/directorio/l...ciondeurl.html

    La segunda vulnerabilidad está relacionada con el modelo de seguridad
    de dominios cruzados de Internet Explorer que evita que ventanas de
    diferentes dominios intercambien información. Esta vulnerabilidad podía
    llegar a permitir la ejecución de scripts en la zona de seguridad
    local.

    La última de las vulnerabilidades corregidas hace relación a la
    operación de arrastrar y soltar durante eventos de dynamic HTML
    (DHTML) en Internet Explorer. Esta vulnerabilidad puede permitir que
    se grabe un archivo en el sistema del usuario si este llega a pulsar
    en un enlace. Al usuario no se le presentará ningún cuadro de dialogo
    para aprobar la descarga.

    Al corregir la vulnerabilidad de falsificación de URLs esta
    actualización de Internet Explorer también introduce cambios en la
    funcionalidad de Autenticación Básica del navegador. El parche elimina
    el soporte para tratar nombres de usuario y contraseñas en direcciones
    HTTP y HTTP con Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir
    que no se soporta la siguiente sintaxis:
    http(s)://nombre_de_usuario:contraseña@servidor

    Sobre este asunto Microsoft ha publicado un artículo en su base de
    conocimientos y como solventar los problemas que este cambio de
    comportamiento pueda ocasionar a desarrolladores de aplicaciones y
    sitios web.
    http://support.microsoft.com/default.aspx?scid=kb;[LN];834489

    Más Información:

    Microsoft Security Bulletin MS04-004
    Cumulative Security Update for Internet Explorer (832894)
    http://www.microsoft.com/technet/sec...n/MS04-004.asp

    (11/12/2003) Falsificación de URL y ataque DoS recursivo en
    Internet Explorer
    http://www.hispasec.com/unaaldia/1873

    (11/01/2004) Intento de estafa a los usuarios del Banco
    Popular
    http://www.hispasec.com/unaaldia/1904


    FUENTE: Hispasec
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Mar 2003
    Ubicación
    Galiza
    Mensajes
    3.917
    Descargas
    8
    Uploads
    1
    Ya era hora, que algunas de esas vulnerabilidades tienen 6 meses.
    Fijaos en la forma de solucionar problemas de microsoft:
    Al corregir la vulnerabilidad de falsificación de URLs esta
    actualización de Internet Explorer también introduce cambios en la
    funcionalidad de Autenticación Básica del navegador. El parche elimina
    el soporte para tratar nombres de usuario y contraseñas en direcciones
    HTTP y HTTP con Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir
    que no se soporta la siguiente sintaxis:
    http(s)://nombre_de_usuario:contraseña@servidor
    Un Saludo
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Jul 2003
    Ubicación
    Madrid
    Mensajes
    372
    Descargas
    0
    Uploads
    0
    Joer, que bien, pero bueno, no se de que nos sorprendemos si se trata de Microsoft...
    Citar  
     

Temas similares

  1. Respuestas: 8
    Último mensaje: 18-12-2008, 21:37
  2. Respuestas: 3
    Último mensaje: 30-06-2004, 14:47
  3. falsificacion urls, bug??
    Por merkaba en el foro VULNERABILIDADES
    Respuestas: 2
    Último mensaje: 05-02-2004, 06:38
  4. Respuestas: 2
    Último mensaje: 22-05-2003, 08:18
  5. Vulnerabilidad del internet explorer
    Por Giskard en el foro VULNERABILIDADES
    Respuestas: 0
    Último mensaje: 21-04-2003, 23:59

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •