.............

Madrid, 11 de octubre de 2005 - Se ha anunciado la existencia de una vulnerabilidad de cross site scripting en la actual versión del popular navegador Microsoft Internet Explorer.
El problema reside en el tratamiento del contenido de algunos archivos (por ejemplo, algunas imágenes). El atacante deberá crear un archivo malicioso, de tal forma que en primer lugar se proporciona la cabecera habitual acorde al tipo de archivo (como archivos GIF), mientras que el resto del contenido del archivo serán datos html, incluido código script.
Esta forma de inyectar código tendrá éxito si la página se visualiza con Internet Explorer, provocando la ejecución del código script. La prueba de concepto publicada muestra ejemplos de script en archivos GIF, aunque parece que también pueden emplearse con éxito otro tipo de archivos.
El problema puede extenderse a un gran número de sitios web, en los que se permite la subida de archivos de imágenes, aunque se realice una comprobación de código html. Esto puede posibilitar la ejecución de ataques tipo cross site scripting, en sitios de subastas como eBay o en foros con la posibilidad de subir imágenes o inclusión de avatar.
Más información, disponible en
http://www.securiteam.com/windowsntfocus/6F00B00EBY.html.