Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Explotación de Active Scripting mediante hojas de estilo
 
VSantivirus No. 287 - Año 5 - Sábado 21 de abril de 2001

Explotación de Active Scripting mediante hojas de estilo
Por Alejandro Germán Rodriguez (*)

Georgi Guninsky ha dado una nueva alerta de seguridad, la número 43 de la serie.

De acuerdo a esta alerta, el pasado 18 del cte. Microsoft fue notificado que hojas de estilo XML y XSL pueden ejecutar Active Scripting, aún en el caso que el seteo de seguridad de IE este configurado para su no ejecución.

Guninsky ha dado a esta vulnerabilidad una calificación de RIESGO ALTO, especialmente al ser explotada mediante la utilización del correo electrónico.

El autor indica que aunque poseamos un IE, con todas los parches de Microsoft, el inconveniente se presentará. Por el contrario Microsoft no habría podido reproducir la falla en un software al día, en materia de parches y actualizaciones.

Al parecer el problema se presentaría en el Windows Scripting Host, y no existe solución temporal, toda vez que como se expresó anteriormente, la ejecución se efectuará independientemente de su deshabilitación. Microsoft indica que solo se debería actualizar el WSH para solucionar el inconveniente.

El autor agrega que deshabilitando el Windows Scripting Host y dirigiéndose a http://www.guninski.com/xstyle.eml

Si visualizamos una caja de diálogo nos hallamos expuestos a la vulnerabilidad.

XML - El Lenguaje de Marcaje Extensible (Extensible Markup Language, XML) es un lenguaje de metamarcaje (meta-markup) que proporciona un formato para describir datos estructurados. Esto facilita declaraciones más precisas de contenido y resultados de búsquedas con más significado entre muchas plataformas. Además, el XML habilita una generación de aplicaciones, manipulación y visualización de datos basadas en Web.

XSL (eXstensible Stylesheet Language) - le permite al programador manipular XML en un modelo de plantilla. También permite a los programadores realizar querys selectivas, desplegar y manipular datos, realizar scripting y operaciones en documentos XML y transformarlos en HTML puro para usarlos en browsers que no soportan XML, etc.

WINDOWS SCRIPTING HOST - Microsoft Windows Script Host (WSH) es una herramienta que permite ejecutar Visual Basic Scripting Edition y JScript como código nativo.

Si deseamos deshabilitar el Active Scripting para probar los dichos de Guninsky o para evitar la explotación de otras fallas debemos hacer, desde el IE:

HERRAMIENTAS>OPCIONES DE SEGURIDAD>SEGURIDAD>INTERNET>PERSONALIZAR NIVEL

A partir de aquí debemos dirigirnos a la rama Automatización y marcar la casilla de "Desactivar" para las opciones "Automatización de los subprogramas de Java" y "Permitir operaciones de pegado por medio de una secuencia de comandos". Aceptar y confirmar los cambios efectuados.

Algunas páginas y mensajes pueden no verse correctamente con la deshabilitación antes mencionada.

Más datos:
http://www.guninski.com/
http://www.itlp.edu.mx/publica/revistas/revista_isc/anteriores/jun00/xml.htm
http://www.visualpr.net/visweb99/product.asp?sku=2218


(*) Alejandro Germán Rodriguez
Peligros_en_la_red-owner@onelist.com
http://es.egroups.com/group/Peligros_en_la_red
ICQ # 44796626


Ver también:

"Deshabilitar el Windows Scripting Host en nuestro PC", en VSantivirus No. 231 - Año 5 - Sábado 24 de febrero de 2001 (Algunas recomendaciones sobre los virus escritos en VBS)
 

Copyright 1996-2001 Video Soft BBS