Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Otra forma de disfrazar la verdadera dirección en OE
 
VSantivirus No. 1411 Año 8, lunes 17 de mayo de 2004

 Otra forma de disfrazar la verdadera dirección en OE
http://www.vsantivirus.com/vul-oe-uri-barra.htm

Por Angela Ruiz
angela@videosoft.net.uy

Outlook Express, puede confundirse al mostrar un URI (Uniform Resource Identifier o Identificador Universal de Recursos). URI es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

Una vulnerabilidad recién reportada, afecta a la versión 6 y posiblemente otras anteriores.

El fallo, simplemente consiste en ocultar la barra de direcciones, y no parece tener nada que ver con otra reciente vulnerabilidad, corregida en el último parche para el IE, que permitía mostrar en las barras de dirección y de estado, una dirección diferente a la real.

De este modo, un atacante puede engañar a un usuario para que visite un sitio web malicioso, no mostrando la tradicional barra de direcciones en el navegador.

Potencialmente, esto podría hacer más fácil engañar a un usuario para que confíe en el contenido del sitio. También podría facilitar la aplicación de técnicas de PHISHING (obtener información confidencial mediante engaños para ingresar cualquier clase de datos, suplantando al usuario o sitio original).

No se requiere ningún exploit, y una prueba de concepto consiste en un código como el siguiente:

<BASE href=http://www.example1.com target=_top>
<A href="http://www.example2.com">http://www.example1.com</A>

Recomendaciones:

Ignore enlaces a sitios desconocidos en mensajes electrónicos, y mucho más si lo llevan a alguna página donde le soliciten datos confidenciales. Prácticamente es norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente. 


Créditos:

"http-equiv@excite.com" <1@malware.com>. 


Referencias:

POA: Outlook Expresss 6.00 
http://www.securityfocus.com/archive/1/363248

Microsoft Technet Security (Microsoft)
http://www.microsoft.com/technet/security





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS