IMPORTANTE VULNERABILIDAD DE INTERNET EXPLORER

Inyección de ventanas en Internet Explorer
_____________________________________________________________

http://www.vsantivirus.com/vul-ie-i...081204.htm

Inyección de ventanas en Internet Explorer

Por Angela Ruiz
angela@videosoft.net.uy

Secunia Research ha informado una vulnerabilidad, que afecta a
Microsoft Internet Explorer, y que podría ser explotada por un
sitio web malicioso para engañar a usuarios desprevenidos,
mostrando información falsa en ventanas desplegadas por sitios
de confianza.

El problema ocurre porque cualquier sitio web puede inyectar
contenido en una ventana desplegada por otro sitio, si se
conoce el nombre de dicha ventana.

Para explotar esta debilidad, la víctima debe ser inducida a
hacer clic sobre un enlace a otro sitio (por ejemplo un
banco). Si dicho sitio abre alguna ventana, el web malicioso
puede inyectar en ella cualquier contenido, sin que el usuario
sospeche que el mismo no pertenece al sitio original.

[ver gráfico:
"¿Cómo trabaja la vulnerabilidad de inyección de ventanas?,
http://www.vsantivirus.com/vul-ie-i...081204.htm]

Secunia ha construido una demostración en el enlace que se
indica más abajo. Para comprobar si su navegador es afectado,
seleccione el enlace "With Pop-up Blocker:" si tiene un
protector de ventanas emergentes (por ejemplo, el que
incorpora el IE 6.0 de Windows XP SP2). Seleccione "Without
Pop-up Blocker:" si no posee bloqueador de ventanas
emergentes.

En ambos casos, deberá abrirse una página oficial del
Citibank. Luego de terminar de cargar, haga clic sobre la
imagen que muestra el siguiente texto:

(!) Consumer Alert
beware of fraudulent e-mails >

Normalmente, debería abrirse una ventana emergente del banco
con información para evitar fraudes. Si su navegador es
vulnerable, el contenido de dicha ventana será un texto
relacionado con Secunia.


* Enlace a test de demostración:

http://secunia.com/multiple_browser...lity_test/


* Software vulnerable:

La vulnerabilidad ha sido confirmada en los siguientes
productos:

- Microsoft Internet Explorer 5.01
- Microsoft Internet Explorer 5.5
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 6 SP1
- Microsoft Internet Explorer 6 Windows XP SP1
- Microsoft Internet Explorer 6 Windows XP SP2


* Solución:

No existe solución oficial a este problema.


* Medidas de precaución:

No abrir el navegador en sitios no seguros o desconocidos,
mientras en otra ventana se navega por sitios de confianza.


* Créditos:

Secunia Research


* Relacionados:

Microsoft Internet Explorer Window Injection Vulnerability
http://secunia.com/advisories/13251/

Multiple Browsers Window Injection Vulnerability
http://secunia.com/secunia_research.../advisory/

Multiple Browsers Frame Injection Vulnerability
http://secunia.com/advisories/11978/

Fuente: www.vsantivirus.com

saludos
Verónica B.