Esto es Cierto?

11/09/2003 - 00:22 por Irving Pires.mx | Informe spam
Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
chat sobre seguridad?


Con tan sólo visitar una página con Internet Explorer el usuario puede
sufrir la infección de un virus, el formateo de todas sus unidades, o la
instalación de un "dialer" que realice llamadas de tarificación especial. No
existe de momento solución por parte de Microsoft. Compruebe con Hispasec si
su sistema es vulnerable y descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del pasado mes
de agosto, no soluciona por completo un agujero crítico que permite ejecutar
código arbitrario en los sistemas con Internet Explorer. Las implicaciones
en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
vulnerabilidad y la sencillez con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
posible hacer creer a Internet Explorer que cualquier ejecutable es seguro y
lanzarlo de forma automática sin pedir autorización alguna al usuario. La
forma de explotación es sencilla,todo se debe a que Internet Explorer no
chequea realmente la
naturaleza del contenido que establece la localización del ActiveX a
descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema cuando la
explotación se lleva a cabo de forma directa mediante contenido estático,
pero no ha tenido en cuenta que es posible explotarlo igualmente a través de
scripts. En definitiva, ha dejado el agujero en su navegador, con el
agravante de que ahora se conocen los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la vulnerabilidad
sigue existiendo, aun teniendo instaladas todas las actualizaciones
disponibles hasta la fecha, y como puede ser explotada para ejecutar código
en su sistema a través de la última versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el disco
duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/...drev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden detectar
como "joke" (broma), un atacante podría utilizar una página web, o un
mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario en la que
se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
advertencia.

http://www.hispasec.com/directorio/...odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única solución para
este tipo de exploits pasa por desactivar la "Secuencia de comandos ActiveX"
en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Secuencias de comandos ActiveX, señalar la opción de
Desactivar.

El problema es que el navegador será incapaz de visualizar muchas páginas
que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el anterior,
pero que es capaz de ejecutarse aun teniendo desactivada la opción de
"Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/...drev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Controles y complementos de ActiveX, Ejecutar controles y
complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el navegador,
aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail y a su
vez estar libres de este tipo de vulnerabilidades que suelen afectar a
Internet Explorer, consiste en utilizar otro navegador por defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo día a día
nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
Firebird:
http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas antivirus,
incluyendo firmas para reconocer de forma genérica el código de estos
exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que algunas casas
antivirus se encuentran en estos momentos analizando el problema y
actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus productos
antivirus que incluyan la protección necesaria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1778/comentar

Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/se...03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/f...sure/2003-
September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/A...30820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/.../Software/

Preguntas similare

Leer las respuestas

#1 Alezito [MS MVP]
11/09/2003 - 00:33 | Informe spam
Es cierto y ya se esta trabajando (Microsoft) para sacar una actualizacion
de seguridad.

Alejandro Curquejo
MS MVP DTS
Windows XP


Siempre Aprendiendo ;-)

La informacion contenida en este mensaje se proporciona "tal cual"
sin garantias de ninguna clase y no otorga ningun derecho, usted
asume todo el riesgo de poner en practica lo aqui recomendado

"Irving Pires.mx" escribió en el mensaje
news:%235JIOo%
Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
chat sobre seguridad?


Con tan sólo visitar una página con Internet Explorer el usuario puede
sufrir la infección de un virus, el formateo de todas sus unidades, o la
instalación de un "dialer" que realice llamadas de tarificación especial.


No
existe de momento solución por parte de Microsoft. Compruebe con Hispasec


si
su sistema es vulnerable y descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del pasado


mes
de agosto, no soluciona por completo un agujero crítico que permite


ejecutar
código arbitrario en los sistemas con Internet Explorer. Las implicaciones
en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
vulnerabilidad y la sencillez con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
posible hacer creer a Internet Explorer que cualquier ejecutable es seguro


y
lanzarlo de forma automática sin pedir autorización alguna al usuario. La
forma de explotación es sencilla,todo se debe a que Internet Explorer no
chequea realmente la
naturaleza del contenido que establece la localización del ActiveX a
descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema cuando la
explotación se lleva a cabo de forma directa mediante contenido estático,
pero no ha tenido en cuenta que es posible explotarlo igualmente a través


de
scripts. En definitiva, ha dejado el agujero en su navegador, con el
agravante de que ahora se conocen los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la


vulnerabilidad
sigue existiendo, aun teniendo instaladas todas las actualizaciones
disponibles hasta la fecha, y como puede ser explotada para ejecutar


código
en su sistema a través de la última versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el disco
duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/...drev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden


detectar
como "joke" (broma), un atacante podría utilizar una página web, o un
mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario en la que
se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
advertencia.

http://www.hispasec.com/directorio/...odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única solución


para
este tipo de exploits pasa por desactivar la "Secuencia de comandos


ActiveX"
en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Secuencias de comandos ActiveX, señalar la opción de
Desactivar.

El problema es que el navegador será incapaz de visualizar muchas páginas
que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el anterior,
pero que es capaz de ejecutarse aun teniendo desactivada la opción de
"Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/...drev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Controles y complementos de ActiveX, Ejecutar controles y
complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el


navegador,
aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail y a


su
vez estar libres de este tipo de vulnerabilidades que suelen afectar a
Internet Explorer, consiste en utilizar otro navegador por defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo día a


día
nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
Firebird:
http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas


antivirus,
incluyendo firmas para reconocer de forma genérica el código de estos
exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que algunas


casas
antivirus se encuentran en estos momentos analizando el problema y
actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus productos
antivirus que incluyan la protección necesaria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1778/comentar

Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/se...03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/f...sure/2003-
September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/A...30820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/.../Software/



Respuesta Responder a este mensaje
#2 Waldín
11/09/2003 - 00:38 | Informe spam
Si, es cierto. Yolo he comprobado. Hispasec es una empresa de seguridad.


"Irving Pires.mx" escribió en el mensaje
news:%235JIOo%
Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
chat sobre seguridad?


Con tan sólo visitar una página con Internet Explorer el usuario puede
sufrir la infección de un virus, el formateo de todas sus unidades, o la
instalación de un "dialer" que realice llamadas de tarificación especial.


No
existe de momento solución por parte de Microsoft. Compruebe con Hispasec


si
su sistema es vulnerable y descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del pasado


mes
de agosto, no soluciona por completo un agujero crítico que permite


ejecutar
código arbitrario en los sistemas con Internet Explorer. Las implicaciones
en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
vulnerabilidad y la sencillez con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
posible hacer creer a Internet Explorer que cualquier ejecutable es seguro


y
lanzarlo de forma automática sin pedir autorización alguna al usuario. La
forma de explotación es sencilla,todo se debe a que Internet Explorer no
chequea realmente la
naturaleza del contenido que establece la localización del ActiveX a
descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema cuando la
explotación se lleva a cabo de forma directa mediante contenido estático,
pero no ha tenido en cuenta que es posible explotarlo igualmente a través


de
scripts. En definitiva, ha dejado el agujero en su navegador, con el
agravante de que ahora se conocen los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la


vulnerabilidad
sigue existiendo, aun teniendo instaladas todas las actualizaciones
disponibles hasta la fecha, y como puede ser explotada para ejecutar


código
en su sistema a través de la última versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el disco
duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/...drev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden


detectar
como "joke" (broma), un atacante podría utilizar una página web, o un
mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario en la que
se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
advertencia.

http://www.hispasec.com/directorio/...odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única solución


para
este tipo de exploits pasa por desactivar la "Secuencia de comandos


ActiveX"
en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Secuencias de comandos ActiveX, señalar la opción de
Desactivar.

El problema es que el navegador será incapaz de visualizar muchas páginas
que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el anterior,
pero que es capaz de ejecutarse aun teniendo desactivada la opción de
"Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/...drev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Controles y complementos de ActiveX, Ejecutar controles y
complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el


navegador,
aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail y a


su
vez estar libres de este tipo de vulnerabilidades que suelen afectar a
Internet Explorer, consiste en utilizar otro navegador por defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo día a


día
nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
Firebird:
http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas


antivirus,
incluyendo firmas para reconocer de forma genérica el código de estos
exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que algunas


casas
antivirus se encuentran en estos momentos analizando el problema y
actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus productos
antivirus que incluyan la protección necesaria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1778/comentar

Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/se...03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/f...sure/2003-
September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/A...30820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/.../Software/



Respuesta Responder a este mensaje
#3 Manix
11/09/2003 - 01:09 | Informe spam
Al menos, McAfee detecta el script y da la posibilidad de que no se ejecute...

Manix

"Irving Pires.mx" wrote in message news:%235JIOo%
Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
chat sobre seguridad?


Con tan sólo visitar una página con Internet Explorer el usuario puede
sufrir la infección de un virus, el formateo de todas sus unidades, o la
instalación de un "dialer" que realice llamadas de tarificación especial. No
existe de momento solución por parte de Microsoft. Compruebe con Hispasec si
su sistema es vulnerable y descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del pasado mes
de agosto, no soluciona por completo un agujero crítico que permite ejecutar
código arbitrario en los sistemas con Internet Explorer. Las implicaciones
en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
vulnerabilidad y la sencillez con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
posible hacer creer a Internet Explorer que cualquier ejecutable es seguro y
lanzarlo de forma automática sin pedir autorización alguna al usuario. La
forma de explotación es sencilla,todo se debe a que Internet Explorer no
chequea realmente la
naturaleza del contenido que establece la localización del ActiveX a
descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema cuando la
explotación se lleva a cabo de forma directa mediante contenido estático,
pero no ha tenido en cuenta que es posible explotarlo igualmente a través de
scripts. En definitiva, ha dejado el agujero en su navegador, con el
agravante de que ahora se conocen los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la vulnerabilidad
sigue existiendo, aun teniendo instaladas todas las actualizaciones
disponibles hasta la fecha, y como puede ser explotada para ejecutar código
en su sistema a través de la última versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el disco
duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/...drev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden detectar
como "joke" (broma), un atacante podría utilizar una página web, o un
mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario en la que
se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
advertencia.

http://www.hispasec.com/directorio/...odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única solución para
este tipo de exploits pasa por desactivar la "Secuencia de comandos ActiveX"
en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Secuencias de comandos ActiveX, señalar la opción de
Desactivar.

El problema es que el navegador será incapaz de visualizar muchas páginas
que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el anterior,
pero que es capaz de ejecutarse aun teniendo desactivada la opción de
"Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/...drev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Controles y complementos de ActiveX, Ejecutar controles y
complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el navegador,
aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail y a su
vez estar libres de este tipo de vulnerabilidades que suelen afectar a
Internet Explorer, consiste en utilizar otro navegador por defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo día a día
nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
Firebird:
http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas antivirus,
incluyendo firmas para reconocer de forma genérica el código de estos
exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que algunas casas
antivirus se encuentran en estos momentos analizando el problema y
actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus productos
antivirus que incluyan la protección necesaria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1778/comentar

Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/se...03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/f...sure/2003-
September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/A...30820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/.../Software/



Respuesta Responder a este mensaje
#4 carlos lasarte
11/09/2003 - 16:25 | Informe spam
vale, he efectuado los ejemplos y norton antivirus me ha ofrecido
bloquearlos, pero pienso que se debe solucionar esa falla de IE.
un saludo
carlos lasarte


"Manix" escribió en el mensaje
news:
Al menos, McAfee detecta el script y da la posibilidad de que no se
ejecute...

Manix

"Irving Pires.mx" wrote in message
news:%235JIOo%
Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
chat sobre seguridad?


Con tan sólo visitar una página con Internet Explorer el usuario puede
sufrir la infección de un virus, el formateo de todas sus unidades, o la
instalación de un "dialer" que realice llamadas de tarificación especial.


No
existe de momento solución por parte de Microsoft. Compruebe con Hispasec


si
su sistema es vulnerable y descubra como evitar el problema.

El último parche acumulativo de Microsoft para su navegador, del pasado


mes
de agosto, no soluciona por completo un agujero crítico que permite


ejecutar
código arbitrario en los sistemas con Internet Explorer. Las implicaciones
en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
vulnerabilidad y la sencillez con la que puede ser explotada.

Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
posible hacer creer a Internet Explorer que cualquier ejecutable es seguro


y
lanzarlo de forma automática sin pedir autorización alguna al usuario. La
forma de explotación es sencilla,todo se debe a que Internet Explorer no
chequea realmente la
naturaleza del contenido que establece la localización del ActiveX a
descargar en la etiqueta Object.

El parche de Microsoft, publicado en agosto, corrige el problema cuando la
explotación se lleva a cabo de forma directa mediante contenido estático,
pero no ha tenido en cuenta que es posible explotarlo igualmente a través


de
scripts. En definitiva, ha dejado el agujero en su navegador, con el
agravante de que ahora se conocen los detalles de como explotarlo.

Hispasec proporciona algunas demostraciones reales de como la


vulnerabilidad
sigue existiendo, aun teniendo instaladas todas las actualizaciones
disponibles hasta la fecha, y como puede ser explotada para ejecutar


código
en su sistema a través de la última versión de Internet Explorer.


Ejemplo 1 (descarga y ejecución de una aplicación)

En este caso se utiliza el agujero para descargar una aplicación y
ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
Con tan sólo visitar la página web, la aplicación se copiará en el disco
duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.

http://www.hispasec.com/directorio/...drev3.html

Después de completar el test, si se ha llevado a cabo con éxito, se
recomienda eliminar el archivo C:\prueba_ie_hispasec.exe

En lugar de una aplicación inofensiva, que algunos antivirus pueden


detectar
como "joke" (broma), un atacante podría utilizar una página web, o un
mensaje con formato HTML, para distribuir virus, gusanos
o troyanos que infectarían de forma automática y transparente al usuario.


Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):

En esta página abrimos una ventana DOS en el sistema del usuario en la que
se demuestra la posibilidad de ejecutar cualquier comando.
Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
advertencia.

http://www.hispasec.com/directorio/...odrev.html


Solución para evitar este tipo de exploit:

A la espera del nuevo parche por parte de Microsoft, la única solución


para
este tipo de exploits pasa por desactivar la "Secuencia de comandos


ActiveX"
en Internet Explorer.

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Secuencias de comandos ActiveX, señalar la opción de
Desactivar.

El problema es que el navegador será incapaz de visualizar muchas páginas
que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
podremos acceder a www.hotmail.com


Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)

Esta es otra variante del exploit con los mismos efectos que el anterior,
pero que es capaz de ejecutarse aun teniendo desactivada la opción de
"Secuencias de comandos ActiveX".

http://www.hispasec.com/directorio/...drev2.html


Solución para evitar este tipo de exploit:

Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
personalizado, Controles y complementos de ActiveX, Ejecutar controles y
complementos de ActiveX, señalar la opción de Desactivar.

Evidentemente, con esta nueva restricción que configuramos en el


navegador,
aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
visualizar muchas páginas que necesitan de estas
funcionalidades.


Solución genérica:

Otra opción, que permite visualizar páginas con scripts como Hotmail y a


su
vez estar libres de este tipo de vulnerabilidades que suelen afectar a
Internet Explorer, consiste en utilizar otro navegador por defecto.

Uno de los que últimamente se encuentra más en boga, consiguiendo día a


día
nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
Firebird:
http://www.mozilla.org/products/firebird/


Otra capa de seguridad adicional la pueden proporcionar las casas


antivirus,
incluyendo firmas para reconocer de forma genérica el código de estos
exploits, detectando y deteniendo cualquier página
que intente aprovechar esta vulnerabilidad. Nos consta de que algunas


casas
antivirus se encuentran en estos momentos analizando el problema y
actualizarán sus productos en breve. Recomendamos a
los usuarios que, en el caso de que no lo hagan, exijan a sus productos
antivirus que incluyan la protección necesaria.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/1778/comentar

Más información:

22/08/2003 - Internet Explorer: actualización urgente
http://www.hispasec.com/unaaldia/1762

Microsoft Security Bulletin MS03-032
Cumulative Patch for Internet Explorer (822925)
http://www.microsoft.com/technet/se...03-032.asp

BAD NEWS: Microsoft Security Bulletin MS03-032
http://lists.netsys.com/pipermail/f...sure/2003-
September/009639.html

Internet Explorer Object Data Remote Execution Vulnerability
http://www.eeye.com/html/Research/A...30820.html

Tests OnLine Hispasec
http://www.hispasec.com/directorio/.../Software/



Respuesta Responder a este mensaje
#5 Joan Ballart
11/09/2003 - 18:24 | Informe spam
Ya la solucionaran...pero de momento toda la gente que conozco yo con PC esta protegidahay que pasar la informacion.

Saludos.
Joan Ballart
joanb@(NO)menta.net

"carlos lasarte" escribió en el mensaje news:
vale, he efectuado los ejemplos y norton antivirus me ha ofrecido
bloquearlos, pero pienso que se debe solucionar esa falla de IE.
un saludo
carlos lasarte


"Manix" escribió en el mensaje
news:
Al menos, McAfee detecta el script y da la posibilidad de que no se
ejecute...

Manix

"Irving Pires.mx" wrote in message
news:%235JIOo%
> Esto lo vi ... ¿es un HOAX? ... ¿es verdad? .. ¿Y cuando se va a hacer el
> chat sobre seguridad?
>
>
> Con tan sólo visitar una página con Internet Explorer el usuario puede
> sufrir la infección de un virus, el formateo de todas sus unidades, o la
> instalación de un "dialer" que realice llamadas de tarificación especial.
No
> existe de momento solución por parte de Microsoft. Compruebe con Hispasec
si
> su sistema es vulnerable y descubra como evitar el problema.
>
> El último parche acumulativo de Microsoft para su navegador, del pasado
mes
> de agosto, no soluciona por completo un agujero crítico que permite
ejecutar
> código arbitrario en los sistemas con Internet Explorer. Las implicaciones
> en materia de seguridad son máximas, si tenemos en cuenta lo crítico de la
> vulnerabilidad y la sencillez con la que puede ser explotada.
>
> Tal y como ya avanzamos entonces en Hispasec, el problema reside en que es
> posible hacer creer a Internet Explorer que cualquier ejecutable es seguro
y
> lanzarlo de forma automática sin pedir autorización alguna al usuario. La
> forma de explotación es sencilla,todo se debe a que Internet Explorer no
> chequea realmente la
> naturaleza del contenido que establece la localización del ActiveX a
> descargar en la etiqueta Object.
>
> El parche de Microsoft, publicado en agosto, corrige el problema cuando la
> explotación se lleva a cabo de forma directa mediante contenido estático,
> pero no ha tenido en cuenta que es posible explotarlo igualmente a través
de
> scripts. En definitiva, ha dejado el agujero en su navegador, con el
> agravante de que ahora se conocen los detalles de como explotarlo.
>
> Hispasec proporciona algunas demostraciones reales de como la
vulnerabilidad
> sigue existiendo, aun teniendo instaladas todas las actualizaciones
> disponibles hasta la fecha, y como puede ser explotada para ejecutar
código
> en su sistema a través de la última versión de Internet Explorer.
>
>
> Ejemplo 1 (descarga y ejecución de una aplicación)
>
> En este caso se utiliza el agujero para descargar una aplicación y
> ejecutarla de forma transparente. Hemos escogido una pequeña broma gráfica
> inofensiva, de Robert Salesas, que da la vuelta a la pantalla.
> Con tan sólo visitar la página web, la aplicación se copiará en el disco
> duro del usuario como C:\prueba_ie_hispasec.exe y la ejecutará.
>
> http://www.hispasec.com/directorio/...drev3.html
>
> Después de completar el test, si se ha llevado a cabo con éxito, se
> recomienda eliminar el archivo C:\prueba_ie_hispasec.exe
>
> En lugar de una aplicación inofensiva, que algunos antivirus pueden
detectar
> como "joke" (broma), un atacante podría utilizar una página web, o un
> mensaje con formato HTML, para distribuir virus, gusanos
> o troyanos que infectarían de forma automática y transparente al usuario.
>
>
> Ejemplo 2 (Windows 2000/XP e Internet Explorer 6):
>
> En esta página abrimos una ventana DOS en el sistema del usuario en la que
> se demuestra la posibilidad de ejecutar cualquier comando.
> Podríamos, por ejemplo, borrar archivos o formatear la unidad, en su lugar
> solo hemos realizado un listado de la unidad C: y mostramos un mensaje de
> advertencia.
>
> http://www.hispasec.com/directorio/...odrev.html
>
>
> Solución para evitar este tipo de exploit:
>
> A la espera del nuevo parche por parte de Microsoft, la única solución
para
> este tipo de exploits pasa por desactivar la "Secuencia de comandos
ActiveX"
> en Internet Explorer.
>
> Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
> personalizado, Secuencias de comandos ActiveX, señalar la opción de
> Desactivar.
>
> El problema es que el navegador será incapaz de visualizar muchas páginas
> que utilizan scripts de forma correcta. Sin ir más lejos, por ejemplo, no
> podremos acceder a www.hotmail.com
>
>
> Ejemplo 3 (Windows 2000/XP e Internet Explorer 6)
>
> Esta es otra variante del exploit con los mismos efectos que el anterior,
> pero que es capaz de ejecutarse aun teniendo desactivada la opción de
> "Secuencias de comandos ActiveX".
>
> http://www.hispasec.com/directorio/...drev2.html
>
>
> Solución para evitar este tipo de exploit:
>
> Desde el menú Herramientas, Opciones de Internet, pestaña Seguridad, Nivel
> personalizado, Controles y complementos de ActiveX, Ejecutar controles y
> complementos de ActiveX, señalar la opción de Desactivar.
>
> Evidentemente, con esta nueva restricción que configuramos en el
navegador,
> aumenta la seguridad proporcionalmente a la posibilidad de que no podamos
> visualizar muchas páginas que necesitan de estas
> funcionalidades.
>
>
> Solución genérica:
>
> Otra opción, que permite visualizar páginas con scripts como Hotmail y a
su
> vez estar libres de este tipo de vulnerabilidades que suelen afectar a
> Internet Explorer, consiste en utilizar otro navegador por defecto.
>
> Uno de los que últimamente se encuentra más en boga, consiguiendo día a
día
> nuevos adeptos gracias a sus funcionalidades y fiabilidad, es Mozilla
> Firebird:
> http://www.mozilla.org/products/firebird/
>
>
> Otra capa de seguridad adicional la pueden proporcionar las casas
antivirus,
> incluyendo firmas para reconocer de forma genérica el código de estos
> exploits, detectando y deteniendo cualquier página
> que intente aprovechar esta vulnerabilidad. Nos consta de que algunas
casas
> antivirus se encuentran en estos momentos analizando el problema y
> actualizarán sus productos en breve. Recomendamos a
> los usuarios que, en el caso de que no lo hagan, exijan a sus productos
> antivirus que incluyan la protección necesaria.
>
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldia/1778/comentar
>
> Más información:
>
> 22/08/2003 - Internet Explorer: actualización urgente
> http://www.hispasec.com/unaaldia/1762
>
> Microsoft Security Bulletin MS03-032
> Cumulative Patch for Internet Explorer (822925)
> http://www.microsoft.com/technet/se...03-032.asp
>
> BAD NEWS: Microsoft Security Bulletin MS03-032
> http://lists.netsys.com/pipermail/f...sure/2003-
> September/009639.html
>
> Internet Explorer Object Data Remote Execution Vulnerability
> http://www.eeye.com/html/Research/A...30820.html
>
> Tests OnLine Hispasec
> http://www.hispasec.com/directorio/.../Software/
>
>
>


Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida