Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Autoejecución de código en archivos HTML con IE
 
VSantivirus No. 968 - Año 7 - Domingo 2 de marzo de 2003

Autoejecución de código en archivos HTML con IE
http://www.vsantivirus.com/vul-mhtml-file.htm

Aviso de seguridad: Autoejecución de código en archivos HTML con Internet Explorer
Fecha original: 25/feb/03, 1/mar/03
Aplicación vulnerable: Todas las versiones del IE 5.x y 6.x
Severidad: Alta
Riesgo: Grande
Fabricante: Microsoft

Una nueva vulnerabilidad recientemente descubierta en el Internet Explorer, permite que por medio de un script, se pueda ejecutar un programa embebido en un documento HTML.

Al ser un archivo HTML, el mismo será abierto y procesado por defecto, por el Internet Explorer.

Cuando el script es procesado, el ejecutable empotrado en el documento se ejecuta en el área de seguridad actual del Explorer.

De ese modo, un operador Web malicioso podría incluir en una página un archivo maligno, que se ejecutaría en el entorno de seguridad local, menos restrictivo que el usado para navegar.

Un escenario similar, podría ser preparado por un malware (virus o troyano), incluso a través de mensajes de correo electrónico con formato HTML.

El mayor peligro de esta falla, está en que el Internet Explorer no muestra ninguna advertencia al ejecutar un archivo bajo esas condiciones.

Microsoft fue avisado de la falla, pero no existe aún una solución. Debido a que esta advertencia y un ejemplo para explotar la falla, ya han sido publicadas en Internet, es que advertimos de la misma a nuestros lectores.

Son vulnerables las siguientes versiones del Explorer:
  • Microsoft Internet Explorer 5.0
  • Microsoft Internet Explorer 5.5 SP2
  • Microsoft Internet Explorer 5.5 SP1
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 6.0 SP1
  • Microsoft Internet Explorer 6.0


Fuente: http://www.securityfocus.com/



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS