Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Múltiples fallas permiten acceso a zona local con IE
 
VSantivirus No. 1220 Año 8, Domingo 9 de noviembre de 2003

Múltiples fallas permiten acceso a zona local con IE
http://www.vsantivirus.com/vul-zona-local-ie.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy


Múltiples vulnerabilidades han sido identificadas en las versiones conocidas de Internet Explorer, y todas ellas permiten que con un código HTML maliciosamente construido, un usuario desde un sitio remoto, pueda acceder a la zona de seguridad local (Zona 0, Mi PC).

Una de las fallas permite que con el uso de la doble barra en el recurso CODEBASE, se logre saltear la comprobación de seguridad en el navegador de Microsoft. Esto puede ser usado potencialmente para acceder a los recursos locales con los mismos permisos del usuario local, pero en forma remota.

Una segunda falla permite acceder a los archivos del usuario actual, sin conocer el nombre de éste, utilizando un javascript que sustituya ciertos parámetros. Esta falla solo puede ser explotada si el Internet Explorer está operando en ese momento en la zona local.

La tercer falla revelada, ya fue descripta en VSA 1213, el pasado 2 de noviembre, en el siguiente artículo:

'Refresh' en IFRAME, permite acceso a archivos locales
http://www.vsantivirus.com/vul-iframe-refresh.htm

Esta falla podría ser usada por usuarios maliciosos para acceder a archivos en la zona de seguridad local (Mi PC), en la computadora de la víctima, aunque para ello, se debería redireccionar antes al usuario a un sitio Web malicioso, o hacerlo por medio de un mensaje con formato HTML.

Todas las vulnerabilidades reportadas, afectan al Internet Explorer 5, 5.5 y 6, con todos los parches actualizados.

Cómo algunas versiones ya no son soportadas por Microsoft, seguramente se deberá actualizar a la versión 6.0 cuando se hayan publicado los parches respectivos (aún no disponibles).

Una solución alternativa, es deshabilitar el Active Scripting (o configurar el IE como se explica en el siguiente artículo:

Navegando más seguros y sin molestos Pop-Ups con el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm


Créditos:
Liu Die Yu (las dos primeras vulnerabilidades) y Mindwarper


Enlaces originales:

Double slash zone transfer
http://www.safecenter.net/UMBRELLAWEBV4/
DblSlashForCache/DblSlashForCache-Content.htm


Redirection and Refresh in Iframe parses local file
http://www.safecenter.net/UMBRELLAWEBV4/IredirNrefresh/
IredirNrefresh-Content.htm



Más información:

'Refresh' en IFRAME, permite acceso a archivos locales
http://www.vsantivirus.com/vul-iframe-refresh.htm




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS