Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Falla en IE al ver la lista de carpetas de los sitios FTP
 
VSantivirus No. 702 - Año 6 - Domingo 9 de junio de 2002

Falla en IE al ver la lista de carpetas de los sitios FTP
http://www.vsantivirus.com/vul-ftp-folder.htm

Aviso de seguridad: Falla en IE al ver la lista de carpetas de los sitios FTP
Nombre original: 'Folder View for FTP sites' Script Execution vulnerability 
Fecha original: 7/jun/02
Autor/descubridor: Eiji James Yoshida <zaddik@geocities.co.jp>
Aplicación vulnerable: IE 5.5 SP1, IE 5.5 SP2, IE 6.0
Severidad: Media
Riesgo: Ejecución de código sin advertencia
Fabricante: Microsoft
Referencia: http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html

El Internet Explorer permite la ejecución de scripts que se aprovechan de una vulnerabilidad en el modo de ver en el propio explorador los sitios FTP listados como carpetas (cómo en una vista de los archivos de nuestra propia computadora).

Si usted tiene tildadas las opciones "Habilitar la lista de carpetas para los sitios FTP", en el menú 'Opciones avanzadas' de las 'Opciones de Internet' (Herramientas, Opciones de Internet), y la opción "Ver cómo una página Web" en el menú Ver del Explorador de Windows, un script embebido en la dirección de un servidor FTP puede ser ejecutado. Ambas opciones están marcadas por defecto.

El riesgo aumenta si se hace que el script se ejecute en la zona correspondiente a "Mi PC", que es la zona de seguridad local, donde no hay restricciones.

Windows maneja las siguientes zonas:

Zona 0 = Mi PC (nuestro equipo)
Zona 1 = Intranet local (sitios Web de la red local)
Zona 2 = Sitios de confianza (aquellos que sabemos seguros)
Zona 3 = Internet (todos los sitios que no estén en las otras zonas)
Zona 4 = Sitios restringidos (sitios que sabemos peligrosos)

El código debe estar embebido en el archivo FTP.HTT, y existe una demostración en el enlace que se da al final.

Se sugiere como medida de prevención, deshabilitar las opciones "Habilitar la lista de carpetas para los sitios FTP" y "Ver cómo una página Web".

Para ello siga estos pasos:

1. Desde el Internet Explorer, seleccione Herramientas, Opciones de Internet, y desmarque la opción "Habilitar la lista de carpetas para los sitios FTP".

2. Desde el Explorador de Windows, seleccione Ver y desmarque "Ver cómo una página Web".

Demostración:
http://www.geocities.co.jp/SiliconValley/1667/advisory02e.html

Microsoft fue alertado el 21 de diciembre de 2001, pero la falla sigue existiendo a pesar de los últimos parches de la compañía, por lo que quien descubrió el problema, lo ha hecho publico como forma de advertir a los usuarios del peligro que se mantiene latente.



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
 

Copyright 1996-2002 Video Soft BBS