DE/JHF/Reenvio-- Alerta de Seguridad.

09/09/2003 - 02:12 por Jesus Hernandez | Informe spam
De: "Pablo Roca" <pablorocaX@mvps.org>
Asunto: [info] notas sobre el problema del Active Scripting (completo)
Fecha: martes, 09 de septiembre de 2003 1:51

Bueno .. aunque Jose Manuel Tella me dijo que haga un articulo, no me siento
ni con tiempo
ni con la confianza de hacerlo en seguridad (si fuera de Fox.. habria un
problema menos).

Recompilo algunas notas sobre el problema (algunas no se han comentado).

1. Problema: A pesar de que Microsoft ha liberado recientemente un parche de
seguridad para Internet Explorer 5 y 6 detallado en:
http://www.microsoft.com/technet/se...03-032.asp . Aun queda
una vulnerabilidad que puede provocar la ejecución de codigo indiscriminado
en un cliente a través de correos HTML o navegando por sitios web. Mas
información en ingles en http://www.secunia.com/advisories/9580. La gente de
Secunia lo considerá una vulnerabilidad extremadamente crítica.

2. Para comprobar si se sufre la vulnerabilidad ejecutar el siguiente test:
http://www.secunia.com/MS03-032/TEST/

Si aparece un popup (una nueva ventana emergente), tenemos la
vulnerabilidad.

3. Sistemas afectados:

Microsoft Internet Explorer 5.01
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 para Windows 2003 Server
Microsoft Outlook
Microsoft Outlook Express

4. Status: Pendiente de solución definitiva. A fecha de hoy Microsoft no há
liberado una solución a esta vulnerabilidad.

5. Posibles soluciones:

a) Desactivar el Active Scripting
b) Desinstalar Microsoft Internet Explorer

Active Scripting
=
Una buena información la teneis aqui:

http://acd.ucar.edu/~fredrick/win2k/active_scripting

Por tanto hago solo un resumen y traduzco parte de este documento.

Active Scripting o Automatización (como le llaman en el IE en español) son
programas escritos en Javascript, VBScript o ActiveX, que se ejecutan en el
PC cliente (el que navega). Estos scripts pueden ser bien molestos popups,
dialers o codigo imprescindible en una web. Es importante recalcar que se
debe desactivar el Active Scripting menos donde sea absolutamente necesario.
Con Active Scripting se puede infectar un PC, solo con el simple hecho de
navegar por una pagina o leyendo un correo HTML en Outlook.

Desactivando Active Scripting
=
Desde Internet Explorer hacemos:

Herramientas - Opciones de Internet - Seguridad - seleccionamos el icono de
Internet y pinchamos en el boton Nivel personalizado

Ponemos las siguientes opciones a desactivado:

Automatización:
Automatización de los subprogramas de Java
Permitir operaciones de pegado por medio de una secuencia de comandos
Secuencias de comandos de ActiveX

En realidad la que se deberia deshabilitar es solo la ultima, pero yo por
mayor seguridad prefiero desactivar las tres.

Ahora podemos repetir el test del punto 2, y veremos que ya no sale un
popup. Prueba superada!.

Y ahora que? ... Ahora queda indicar en que sitios web si se permite Active
Scripting, que es muy posible que lo necesitemos para algun sitio web.

Sitios de Confianza

Esto permite definir unas URIs y poder acceder a ellas con un nivel de
seguridad mas bajo que permita Active Scripting u otros parámetros de
seguridad.

Añadir un sitio de confianza

Desde Internet Explorer hacemos:

1. Herramientas - Opciones de Internet - Seguridad - seleccionamos el icono
de Sitios de confianza y pinchamos en el botón Sitios

2. Debe estar desactivado el cuadro de texto que dice "Requerir comprobación
del servidor (https:) para todos los sitios de esta zona"

3. Y simplemente añadimos el site en el cual confiamos, por ejemplo

http://windowsupdate.microsoft.com
http://v4.windowsupdate.microsoft.com

(estos dos harán que el Windows Update vuelva a funcionar)

Esto signfica que todo lo que vaya debajo de http://url_a_confiar/... es un
sitio de confianza

Notas:

a) Como protocolos se pueden poner file, ftp, http o https
b) Si deseamos confiar en todos los protocolos, tambien podemos introducirlo
como:

windowsupdate.microsoft.com
v4.windowsupdate.microsoft.com

Configurar la seguridad de los sitios de confianza
==
Desde Internet Explorer hacemos:

1. Herramientas - Opciones de Internet - Seguridad - seleccionamos el icono
de Sitios de confianza y pinchamos en el botón Nivel predeterminado.

2. Normalmente con poner un Nivel Medio - Bajo llegaria. Si tenemos algun
caso en que no llegue .. pues lo ponemos a bajo. E incluso podemos
personalizarlo a nuestro gusto (cosa que en este caso no aconsejo)

Mas información sobre los sitios de confianza en:

http://www.vsantivirus.com/faq-siti...fianza.htm


Productos para configurar mas comodamente:

Aunque creo que no hacen falta .. pero aqui estan:

1."Trust Setter" gratuito (de apenas 8 Kb) de este enlace:
http://www.videosoft.net.uy/trust-setter.zip
2. Active Scripting Fast Disable. shareware en:
http://www.sparkleware.com/asfd/index.html

OutLook Express
==
Se debe configurar asi:

Herramientes - Opciones - Seguridad

Zona de seguridad de Internet Explorer -> marcar Zona de sitios restringidos
(mas segura)

Outlook
==
No hace falta configurar nada, ya que le afectan los mismos parámetros que a
Internet Explorer.


Notas Finales:
==
Toda esta configuración se guarda SOLO para el usuario activo, por lo que si
nos conectamos con otro usuario, no tendremos esta configuración.

Si queremos aplicarlo a todos los usuarios que se conecten .. una vez
configurado para el usuario actual .. nos tocará andar modificando el
registro de Windows.


Modificando el registro de Windows para que se aplique a todos los usuarios

ATENCION!! Peligroso .. todo lo que toques aqui .. bajo tu propia
responsabilidad. No me hago responsable de estropicios originados por andar
tocando estos datos del registro. Una vez modificado el registro .. ya no
veremos los correctos ajustes dentro de Internet Explorer y deberemos seguir
trabajando el registro.

La información se guarda en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings

Los sitios de confianza en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\ZoneMap\Domains

Los ajustes de seguridad (niveles) de las zonas en:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet
Settings\Zones.

Para llevar estos parametros y que se apliquen a todos los usuarios

a)se exportan estas ramas a un archivo reg
b) se cambia HKEY_CURRENT_USER\Software por HKEY_LOCAL_MACHINE\SOFTWARE
c) se combina el archivo de registro

Sobre los niveles de las zonas, todavia no lo hé podido comrpobar .. lo que
si funciona bien son con la rama de los sitios de confianza.

El Trust Setter mencionado anteriormente es intereante para ver mas claves
del registro involucradas.


Información recolectada de:

Jose Manuel Tella Llop, Manuel F., Kai Schaetzl, http://www.vsantivirus.com,
http://www.secunia.com, NCAR/Atmospheric Chemistry Division
(http://acd.ucar.edu), Microsoft Corp,

Saludos,

Pablo Roca - Microsoft Visual Foxpro MVP
Sysop de PortalFox (http://www.portalfox.com)
La Coruña, España
"Apoya a FoxPro, utiliza software legal"
 

Leer las respuestas

Preguntas similares