Foro Oficial de PETERPAULXXX.COM
19 de Julio 2025, 12:16:20 *
Bienvenido(a), Visitante. Por favor, ingresa o regístrate.

Ingresar con nombre de usuario, contraseña y duración de la sesión
 
   Inicio   Ayuda Calendario Ingresar Registrarse  
Páginas: 1 |   Ir Abajo
  Imprimir  
Autor Tema: Nueva vulnerabilidad crítica en Internet Explorer  (Leído 799 veces)
Clifor
Moderador/a
PeterPaulistic@¹
******

Karma : 806
Sexo: Masculino
Mensajes: 6.127


Casi, casi de vuelta...


« : 24 de Noviembre 2005, 13:27:49 »

Os dejo esto aquí pq me ha parecido interesante... (OCP de Hispasec)

Nueva vulnerabilidad crítica en Internet Explorer
 -------------------------------------------------

Publicados los detalles de una vulnerabilidad crítica que afecta a todas las versiones de Internet Explorer en Windows 98, ME, 2000 y XP (así como 2003 si se ha modificado la configuración estándar). La vulnerabilidad se considera crítica debido a que permite la ejecución remota de programas, sin intervención por parte del usuario. En el momento de redactar este boletín, no hay disponible ningún parche para evitar esta vulnerabilidad.

Durante el día de ayer, la empresa inglesa ComputerTerrorism anunció la existencia de una vulnerabilidad crítica de seguridad en todas las versiones de Internet Explorer. De hecho, no se trata de una vulnerabilidad nueva ya que inicialmente fue descrita en mayo del presente año, aunque en su momento no se evaluó todo su potencial. Inicialmente descrita como una vulnerabilidad que podía ser utilizada en ataques de denegación de servicio, el aviso de ayer indicaba como podía provocar la ejecución automática de código en los sistemas de los usuarios.

La vulnerabilidad se encuentra en la forma en que Internet Explorer ejecuta la función Window() de JavaScript cuando se ejecuta automáticamente en el momento que se abre un documento (a través de <BODY onload>. Tal como se describió en mayo, esta vulnerabilidad provocaba el cierre inesperado de Internet Explorer, generando la condición de denegación de servicio.

Hasta ahora no se había conseguido explotar esta vulnerabilidad para conseguir la ejecución remota de código.
Ayer, ComputerTerrorism describió una forma simple de sacar provecho del problema para permitir la ejecución de código.
Y para demostrarlo, ha publicado una prueba de concepto donde se ejecuta automáticamente la calculadora de Windows, sin ninguna intervención por parte del usuario.

Microsoft ha reconocido la existencia de esta vulnerabilidad, explotable en todas las versiones de Internet Explorer en Windows 98 Second Edition, Windows ME, Windows 2000 con Service Pack 4 y Windows XP Service Pack 2. Según Microsoft, Windows Server 2003 no es vulnerable, siempre que se mantenga la configuración por defecto de seguridad (lo que en la mayoría de casos no es posible debido a las limitaciones operativas de esa configuración por defecto).

También están afectados por esta vulnerabilidad aquellos programas que utilizan el motor de Internet Explorer para la visualización de contenido HTML. Entre estos programas se encuentra Outlook Express, Outlook 2002 y Outlook 2003 cuando visualizan los mensajes HTML.

En el caso de Outlook, Microsoft recomienda una serie de medidas para mitigar el alcance de la vulnerabilidad, como la utilización de zonas restringidas donde no se permita la utilización de Active Scripting. No obstante, esto no impide que un usuario se vea afectado por la vulnerabilidad si hace clic en un enlace contenido dentro de un mensaje HTML.

La forma más eficiente de evitar esta vulnerabilidad pasa por desactivar el soporte de JavaScript en Internet Explorer. Otra forma, igualmente eficiente de evitar esta vulnerabilidad consiste en utilizar un navegador diferente, como por ejemplo Firefox
En línea

Páginas: 1 |   Ir Arriba
  Imprimir  
 
Ir a:  

Impulsado por MySQL Impulsado por PHP Powered by SMF 1.1.13 | SMF © 2006-2011, Simple Machines LLC XHTML 1.0 válido! CSS válido!
Página creada en 0.56 segundos con 15 consultas.