Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

IE: Vulnerabilidad trasversal de directorio en FTP
 
VSantivirus No. 1642 Año 9, martes 4 de enero de 2005

IE: Vulnerabilidad trasversal de directorio en FTP
http://www.vsantivirus.com/vul-ie-ftp-030105.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad en versiones anteriores de Internet Explorer, puede ser explotada por usuarios maliciosos para comprometer el sistema del usuario.

El problema lo ocasiona un error de validación de entradas en el manejo de transferencias FTP (File Transport Protocol). FTP es el protocolo utilizado para transferencia de archivos vía Internet.

Esto puede ser explotado por algún servidor FTP malicioso para crear archivos en ubicaciones arbitrarias del equipo afectado, a través de un ataque del tipo "Directory trasversal Vulnerability". Para ello, debe engañarse al usuario a los efectos que descargue un archivo o intente "arrastrar y soltar" un archivo disponible en el servidor.

La vulnerabilidad trasversal de directorio, generalmente es un problema causado por un error en la validación de las entradas de nombres de archivos. Especificando un nombre con la secuencia de caracteres "..\" o "..%5C", es posible acceder a directorios superiores, diferentes a los asignados dentro del entorno controlado por la aplicación para recibir archivos.

La vulnerabilidad ha sido confirmada en sistemas con todas las actualizaciones, corriendo Internet Explorer 6.0 y Microsoft Windows 2000 SP4 o Windows XP SP1.

Son afectados Internet Explorer 5.01, 5.5 y 6.0 (incluido SP1)

No es afectado Internet Explorer de Windows XP con SP2 instalado.


Solución

Actualizarse a Windows XP SP2 si corresponde.

No aceptar descargas de servidores FTP no conocidos o inseguros.


Créditos:

Albert Puigsech Galicia


Más información:

Internet Explorer FTP download path disclosure
http://www.7a69ezine.org/node/view/176

Internet Explorer FTP Download Directory trasversal
http://secunia.com/advisories/13704/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS