Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Internet Explorer 6: vulnerabilidad en XMLHTTP
 
VSantivirus No. 1908 Año 9, martes 27 de setiembre de 2005

 Internet Explorer 6: vulnerabilidad en XMLHTTP
http://www.vsantivirus.com/vul-ie-xmlhttp-260905.htm

Por Angela Ruiz
angela@videosoft.net.uy

Secunia reporta una vulnerabilidad en Microsoft Internet Explorer, descubierta por Amit Klein, que podría ser explotada por usuarios maliciosos para manipular ciertos datos y realizar ataques mediante solicitudes HTTP normalmente no permitidas.

El problema se debe a que las entradas enviadas como parámetros en la función "open()" del objeto ActiveX "Microsoft.XMLHTTP", no son debidamente filtradas. El objeto XMLHTTP es utilizado normalmente para establecer una comunicación con un servidor HTTP, enviar pedidos y procesar los resultados.

La debilidad reportada, podría ser explotada para inyectar una solicitud HTTP no permitida, por medio de una entrada modificada de tal modo que contenga caracteres como "tab" y "newline".

De todos modos una explotación exitosa requiere que la solicitud HTTP sea enviada a un servidor (o a través de un proxy), que permita caracteres tab en lugar de espacios en ciertas partes de la solicitud realizada.

El impacto de esta vulnerabilidad, está en que la misma podría permitir eludir restricciones de seguridad, realizar spoofing (ocultar el verdadero origen de una solicitud), manipular datos, o acceder a un sistema de forma remota.

El problema es similar a otro detectado anteriormente en Firefox (solucionado en Firefox 1.0.7).

La vulnerabilidad ha sido confirmada en un sistema en Internet Explorer 6.0 y Microsoft Windows XP SP2, con todas las actualizaciones al día. Otras versiones también podrían ser afectadas.


Software vulnerable:

- Microsoft Internet Explorer 6.x


Solución:

No existe un parche oficial al momento de la publicación de esta alerta.

La configuración sugerida por VSAntivirus en el siguiente artículo, disminuye el potencial impacto de esta vulnerabilidad:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Referencias:

Microsoft Internet Explorer "XMLHTTP" HTTP Request Injection
http://secunia.com/advisories/16942/


Relacionados:

Firefox Multiple Vulnerabilities
http://secunia.com/advisories/16911/


Créditos:

Amit Klein






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS