Sobre las dos ultimas vulnerabilidades publicadas
-
Hace unos dias ha saltado una noticia (por ejemplo, publicada por Hispasec) que acusaba a los navegadores de Microsoft de un par de Bugs que vamos a ver a continuacion.
No solo la noticia peca de escandalosa, sino que además sucede igualmente con el resto de exploradores (o al menos tambien pasa con el Mozilla -comprobado-)
URL's mal construidas
Lo primero que hay que matizar es que no son mal construidas. Son construidas perfectamente y de acuerdo con la RFC que define los protocolos de internet y su sintaxis.
En particular la sintaxis completa de una pagina web es:
http://usuario:password@www.direccion_web.com:puerto
Lo que sucede es que normalemtne no accedemos con usuario / password y como por defecto, el puerto es el 80, tampoco lo ponemos.
El dia 4/11/2003, curiosamente (digo curiosamente, porque las casualudades a veces parecen "causalidades") publiqué en los grupos de noticias:
news://dakotabcn.net/dakota.publico...xp.general
un mensaje titulado: "viejos engaños...". Os aconsejo que mireis el holo de la conversacion y saqueis vuestras propias conclusiones. Como un pequeño resumen, empezaba:
supongo que si veis una direccion de este estilo:
http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe
¿sabreis lo que quiere decir ¿no?
Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es. Realmente es un ling a la direccion IP: 62.57.115.225
Recordemos que en una URL puede sustituirse cualquier simbolo por %xx siendo xx la conversion hexadecimal del simbolo. La @ es un 40, y el punto es un 2e. Por tanto, traduciendo un poco lo anterior, queda:
http://www.microsoft.com:support@62.57.115.225/download/KB254678_sp2.exe
Es dcier, se accede al programa KB254678_sp2.exe que está en el servidor de internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario www.microsoft.vom y la password "support".
Cualquier usuario se habría tragado el engaño creyendo que descara un parche de MS y lo que está haciendo es metiendose un virus como una catedral (por ejemplo).
En el hilo en cuestion, teneis mas ejemplos y la explicacion de todos ellos.
* Y esto... un mes antes..
Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado: el server Apache lo usa internamente para un monton de sus paginas y sobre todo de paquetes estandares que ruedan sobre Apache y que utilizan masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre el peligro de cargarnos mas de un 20% de la red que lo está usando.
Y repito... el resto de Navegadores funcionan Igual. Probadlo con Mozilla este simple ejemplo:
http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html
el cual es una variante de lo anterior y os creereis que estais en la paginas del NewYork Times.
VULNERABILIDAD RECURSIVA DE ATAQUE DOS
Este es peor todavia y muchisimo mas viejo. Quien quiera "experimentarlo", existe esta pagina usada desde hace mucho tiempo para hacer bromas. Viejo, realmente viejo.
http://www.albinoblacksheep.com/flash/you.html
* La conclusion, es que se está sacando punta, y cazando brujas a base de cualquier informacion en la red.
Y una segunda conclusion: casualidad... o causalidad.
Jose Manuel Tella Llop
MS MVP - DTS
jmtella@compuserve.com
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.
Leer las respuestas