Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

03/02/2004 - 13:41 por superdelphinet | Informe spam
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue
 

Leer las respuestas

#1 Javier Salinas
03/02/2004 - 14:25 | Informe spam
Pues sigue siendo Hispasec quien considera eso una vulnerabilidad, no Microsoft, que las considera "problema de seguridad" según su descripción en windowsupdate.

Saludos

Javier

escribió en el mensaje news:
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue


Preguntas similares