Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat
Ataques Cross-Site Scripting en WebcamXP
 
VSantivirus No. 1032, Año 7, Lunes 5 de mayo de 2003

 Ataques Cross-Site Scripting en WebcamXP
http://www.vsantivirus.com/vul-webcamxp.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

WebcamXP es una utilidad que instala un pequeño servidor en nuestra computadora, para poder enviar las imágenes de nuestra cámara Web a Internet, sin necesidad de usar un servidor externo y utilizando tecnología Flash.

Una vulnerabilidad descubierta recientemente, permite que dicho software pueda revelar y hasta modificar la información del usuario, incluidos los datos de autenticación, además de permitir la ejecución de código en forma arbitraria en forma remota. Existe un exploit disponible en Internet para sacar provecho de esta falla, basado en las facilidades de chat que brinda el programa.

El aviso fue emitido por el fabricante, Frame4 Security Systems. La falla afecta a todas las versiones de uso gratuito del software, aunque ha sido comprobado solo en las versiones 1.02.432 y 1.02.535.

Para explotarla, un usuario remoto puede insertar un código especialmente modificado como texto de un mensaje en la ventana del chat de la página Web, usando un campo IFRAME.

Cuando esta página es vista por el usuario remoto (solo funciona con el Internet Explorer), el script embebido en el texto puede ejecutarse a través del navegador de la víctima, lanzando un ataque del tipo "Cross-Site Scripting" (ver Glosario). Una ventana de advertencia sin texto puede llegar a ser mostrada.

El código se originará en forma remota (atacante), pero correrá con el mismo contexto de seguridad del usuario local (víctima).

Como resultado, el script puede acceder a los cookies de la víctima, incluyendo los de autenticación, además de llegar a disponer de todos los datos enviados vía Web. También puede tomar el control y llevar a cabo ciertas acciones en el entorno remoto.

No hay solución disponible para esta falla aún.


Relacionados:

Frame4 Security Advisory [FSA-2003:002]
http://www.frame4.com/content/advisories/FSA-2003-002.txt

Página oficial WebcamXP
http://www.darkwet.net/main.asp?page=webcam/home.html&left=webcam/left.html


Glosario:

Vulnerabilidad CROSS-SITE-SCRIPTING - Esta falla permite a un atacante introducir en el campo de un formulario o código embebido en una página, un script (perl, php, javascript, asp) que tanto al almacenarse como al mostrarse en el navegador, puede provocar la ejecución de un código no deseado.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS