Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Ejecución de comandos sin Active Scripting ni ActiveX
 
VSantivirus No. 603 - Año 6 - Sábado 2 de marzo de 2002

 Ejecución de comandos sin Active Scripting ni ActiveX
http://www.vsantivirus.com/vul-innerhtm.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Una reciente advertencia (10 de enero de 2002), demostraba como era posible usar una vieja falla en el elemento HTML, <object>, para ejecutar comandos en forma arbitraria.

El análisis no revela que el peligro es mayor de lo pensado, ya que habla de ciertas condiciones (que se dan), pero pasa por alto, tal vez por falta de más experimentación, que el escenario de la falla es mucho más grande.

El problema no queda circunscripto a los objetos Popup, sino que el código puede ser insertado dinámicamente en cualquier parte del documento HTML.

InnerHTML es una propiedad del HTML dinámico, que junto con outerHTML, insertAdjacentHTML, y otros, pueden ser usados para crear más y mejores efectos en nuestras páginas.

Las características de estos elementos, hacen posible que se puedan ejecutar ordenes embebidas en el HTML, sin utilizar ninguna clase de Active Scripting.

Esto deja dentro del entorno especialmente sensible a la falla, al Outlook o al Internet Explorer, aún cuando se tengan desactivadas las opciones de Active Scripting o ActiveX desde la configuración de Seguridad.

Una de las características agregadas por el Internet Explorer 4, fue la llamada "Data Binding", que permite a los desarrolladores separar completamente los datos de una aplicación de su capa de presentación. La fuente de datos (DSO) para Data Binding puede ser cualquier cosa, como archivos CSV (texto separado por comas), HTML, XML y mucho más. Data binding enlaza los elementos HTML como div o span con el DSO, sin necesidad de usar la más mínima línea de código.

Cuando un atributo como "dataFormatAs" es puesto como "HTML", Data Binding internamente utiliza innerHTML (e innerText) para insertar los datos en el elemento.

Lo único que necesitamos es proporcionar los datos (DSO) que necesiten los elementos <object>, el resto se realiza sin necesidad de ningún script ni ActiveX.

Explotar esto maliciosamente, es algo demasiado sencillo. Cualquier página o correo con formato HTML, puede llegar a ejecutar un comando o programa en nuestro PC, no existiendo ninguna forma conocida para evitarlo, al menos hasta que Microsoft no libere un parche para esto.

Se han liberado en Internet, demostraciones de la falla, lo que acrecienta el riesgo de su uso malicioso.


Aplicaciones afectadas:

Cualquier aplicación que haga uso del Web Browser control (5.5+) es afectada, ya que no se requiere ni Active Scripting ni ActiveX. Algunas de estas aplicaciones son:
  • Microsoft Internet Explorer
  • Microsoft Outlook
  • Microsoft Outlook Express

Estas son las versiones que se han testeado, vulnerables aún con todos los parches instalados, y con Active scripting y ActiveX deshabilitados:

  • IE5.5 sp2 Win98
  • IE5.5 sp2 NT4 sp6a
  • IE6 sp1 Win2000 sp2
  • IE6 sp1 WinXP


Modificación 17/mar/02

En el artículo "Solución parcial para ejecución de comandos sin ActiveX", encontraremos una forma provisoria para protegernos de este tipo de acción:

VSantivirus No. 618 - 17/mar/02
Solución parcial para ejecución de comandos sin ActiveX
http://www.vsantivirus.com/sol-innerhtm.htm


Información ampliada:

GreyMagic Software
http://security.greymagic.com/adv/gm001-ie/


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2002 Video Soft BBS