Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Vulnerabilidad "cross-domain" en Internet Explorer 6

Ver el tema anterior Ver el tema siguiente Ir abajo

Vulnerabilidad "cross-domain" en Internet Explorer 6

Mensaje por Gaillimh el Vie Jun 27, 2008 11:36 am

VSantivirus No 2748 Año 11, viernes 28 de junio de 2008
_____________________________________________________________

Vulnerabilidad "cross-domain" en Internet Explorer 6
_____________________________________________________________

http://www.vsantivirus.com/27-06-08.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Microsoft Explorer 6 es vulnerable a que un sitio web
construido maliciosamente, pueda eludir las restricciones
para obtener información de ventanas pertenecientes a
diferentes dominios (cross-domain). Esto puede permitir que
un usuario remoto no autenticado, pueda acceder al contenido
de una página web que el usuario esté visitando.

La seguridad implementada en Internet Explorer, debería
garantizar que las ventanas del navegador que se encuentren
bajo el control de diferentes sitios web, no puedan
interferir entre ellas ni acceder a los datos relacionados
con cada una de las mismas, pero si que pueda existir cierta
interactividad entre ellas.

Para diferenciar este tipo de interactividad con la
posibilidad de no interferir entre diferentes ventanas
abiertas, se ha creado el concepto "dominio". Un dominio es
un límite de seguridad, las ventanas abiertas dentro del
mismo dominio pueden interactuar entre sí, pero las ventanas
de diferentes dominios no pueden hacerlo.

Internet Explorer 6 no aplica correctamente este modelo de
seguridad cuando la ubicación de una página es modificada
mediante el uso de un determinado objeto. Una prueba de
concepto que demuestra esta vulnerabilidad se ha hecho
pública.

Un atacante podría sacar provecho de la misma, por el simple
hecho de convencer al usuario a visualizar un determinado
documento HTML (una página web o un correo electrónico con
formato HTML). Si el ataque es exitoso, el delincuente puede
obtener acceso al contenido web de otro dominio (por ejemplo,
acceder al contenido de la página de acceso a una institución
bancaria, cuenta de correo vía web, etc.)

No se conocen soluciones apropiadas para este problema al
momento de publicarse esta alerta. Cómo la misma no afecta a
Internet Explorer 7, se aconseja a los usuarios de IE6
actualizarse a IE7.

También puede mitigarse esta vulnerabilidad, configurando
Internet Explorer 6 como describimos en el siguiente artículo
de VSAntivirus.com:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


* Referencias:

Vulnerability Note VU#923508
Microsoft Internet Explorer 6 contains a cross-domain vulnerability
http://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/id/923508

CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
http://www.cert.org/advisories/CA-2000-02.html

Internet Explorer 6 Window "location" Handling Vulnerability
http://secunia.com/advisories/30857/


* Créditos:

Ph4nt0m Security Team


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Internet Explorer no restringe el acceso a marcos

Mensaje por Gaillimh el Sáb Jun 28, 2008 2:18 pm

VSantivirus No 2749 Año 11, sábado 28 de junio de 2008
_____________________________________________________________

Internet Explorer no restringe el acceso a marcos
_____________________________________________________________

http://www.vsantivirus.com/28-06-08.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Microsoft Internet Explorer no restringe debidamente el
acceso a los marcos de un documento, lo que puede permitir a
un atacante modificar el contenido de un marco en un dominio
diferente.

Los marcos en los documentos HTML son subdivisiones de la
ventana actual. El uso más común de los marcos en las páginas
web es el IFRAME o marco interno.

Un IFRAME puede ser utilizado para mostrar el contenido de un
dominio diferente dentro de la representación física de la
página web actual. Un ejemplo del uso de un IFRAME en una
página web es mostrar un banner de publicidad ubicado en un
sitio web diferente al actual.

Microsoft Internet Explorer no restringe debidamente el
acceso a un documento de marcos. Esto puede permitir a un
atacante sustituir el contenido de una página web con marcos,
por cualquier otro contenido arbitrario.

Internet Explorer aplica el modelo de seguridad "cross-
domain", que limita las acciones que un marco malicioso puede
tomar con el resto del documento. Por ejemplo, un marco en un
dominio diferente, no debería poder acceder a las cookies o
contenido HTML del dominio donde se muestra el marco
utilizando IFRAME.

Sin embargo, mediante eventos como "onmousedown", un IFRAME
puede capturar las pulsaciones de teclado del documento
original. Otras acciones pueden ser posibles.

Una prueba limitada ha puesto de manifiesto que son
vulnerables Internet 6, 7 y 8 (beta 1). Una prueba de
concepto del código que se aprovecha de esta vulnerabilidad
ha sido hecha pública.

Para que un ataque sea exitoso, debe convencerse a la víctima
a visualizar un documento HTML (página web o correo
electrónico con formato HTML). El atacante podría ser capaz
de capturar las pulsaciones de teclado mientras el usuario
está interactuando con una página web en un dominio
diferente.

Esta vulnerabilidad puede ser mitigada desactivando Active
Scripting en la Zona de Internet, tal como se especifica en
el siguiente artículo de VSAntivirus.com:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Al momento de emitirse esta alerta, no hay soluciones
prácticas al problema.


* Más información:

Vulnerability Note VU#516627
Microsoft Internet Explorer fails to properly restrict access to frames
http://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/id/516627

Ghost Busters
http://www.gnucitizen.org/blog/ghost-busters/

Ghosts for IE8 and IE7.5730
http://sirdarckcat.blogspot.com/2008/05/ghosts-for-ie8-and-ie75730.html

Browser's Ghost Busters
http://sirdarckcat.blogspot.com/2008/05/browsers-ghost-busters.html

Internet Explorer 7 Frame Location Handling Vulnerability
http://secunia.com/advisories/30851/


* Relacionados:

Vulnerabilidad "cross-domain" en Internet Explorer 6
http://www.vsantivirus.com/27-06-08.htm


* Créditos:

Eduardo Vela


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Ha sido descubierta una vulnerabilidad en la versión 7 de Internet Explorer

Mensaje por Gaillimh el Sáb Jun 28, 2008 2:21 pm

Nueva vulnerabilidad en IE7 27-06-2008
Ha sido descubierta una vulnerabilidad en la versión 7 de Internet Explorer.

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=1022

Secunia ha catalogado este fallo como moderadamente crítico y podría ser utilizado para pasar la seguridad o redirigir al usuario a un sitio malicioso desde un ordenador remoto.

El problema ocurre cuando un sitio web modifica la ubicación de un marco en otra ventana existente, cambiando los datos internos al mismo. Esto puede ser utilizado para cargar un contenido malicioso dentro de un marco perteneciente a un sitio web auténtico.

Es posible que este agujero de seguridad se encuentre relacionado con uno anterior que afectaba todas las versiones desde la 5.x en adelante.

Es afectado IE7, y posiblemente versiones anteriores.

Los créditos de este descubrimiento pertenecen a sirdarckcat.

Mientras la empresa responsable no publique una solución al respecto, se recomienda no navegar por sitios que no sean conocidos.
avatar
Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 52
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Vulnerabilidad "cross-domain" en Internet Explorer 6

Mensaje por Contenido patrocinado


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.