Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

03/02/2004 - 13:41 por superdelphinet | Informe spam
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue

Preguntas similare

Leer las respuestas

#1 Javier Salinas
03/02/2004 - 14:25 | Informe spam
Pues sigue siendo Hispasec quien considera eso una vulnerabilidad, no Microsoft, que las considera "problema de seguridad" según su descripción en windowsupdate.

Saludos

Javier

escribió en el mensaje news:
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue


Respuesta Responder a este mensaje
#2 Marc S. [MVP Windows]
03/02/2004 - 15:30 | Informe spam
No todo el mundo opina como Hispasec. Para muestra, un botón. Fijemonos por ejemplo, en la informacion dada por VsAntivirus:
http://www.vsantivirus.com/vulms04-004.htm

Habla de vulnerabilidades que corrige el parche MS04-004 y además:
-
También corrige el fallo que permite mostrar una dominio falso en la barra de direcciones, utilizado últimamente
para realizar estafas a usuarios de la banca electrónica y de tarjetas de crédito, entre otros
-

Algo que objectar?



Saludos

Marc
MCP - MVP Windows Shell/User
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.


ha escrit en el missatge dels grups de discussió:
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue


Respuesta Responder a este mensaje
#3 JM Tella Llop [MVP Windows] ·
03/02/2004 - 16:21 | Informe spam
resulta que alguno otros, y mas "creibles" que Hispasec... no opinan así..

Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


wrote in message news:
Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.

En

http://www.hispasec.com/unaaldia/1927

-

Microsoft publica una actualización acumulativa para Internet Explorer
en sus versiones 5.01, 5.5 y 6.0. y elimina tres nuevas
vulnerabilidades entre las que se incluyen la ya famosa de
falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las
actualizaciones el segundo martes de cada mes, lo cual indica la
gravedad que los problemas corregidos suponen para la propia
Microsoft.

El primero de los problemas corregidos es la conocida vulnerabilidad
de ocultación y falsificación de URLs, utilizada en los últimos
tiempos en varias estafas de banca online como el caso del Banco
Popular que ya denunciamos en este servicio y del cual demostramos su
importancia en varios test que evidenciaban la gravedad del problema.

La vulnerabilidad estaba relacionada con el tratamiento incorrecto de
URLs que contienen caracteres especiales. Cuando se combinaba con una
forma de autenticación básica de la forma "usuario:contraseña@" al
comienzo de la URL, un atacante podía lograr construir un enlace de
forma que al seleccionarlo el usuario visualizara una URL concreta en
la barra de direcciones de Internet Explorer, cuando en realidad se
visitaba un sitio web diferente.

y sigue


Respuesta Responder a este mensaje
#4 Ille Corvus
03/02/2004 - 16:53 | Informe spam
El 3 Feb 2004 04:41:47 -0800, escribio:

Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.
En
http://www.hispasec.com/unaaldia/1927



Gracias por la informacion

Lo de los insultos es algo normal por estos foros, filtrar y listo
(parece un anuncio de detergente)...

Salu2.



Ille Corvus. Hic et Nunc.

Filtrado(s) (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows] ·
03/02/2004 - 16:57 | Informe spam
informacion dada por VsAntivirus:
http://www.vsantivirus.com/vulms04-004.htm

Habla de vulnerabilidades que corrige el parche MS04-004 y además:
-
También corrige el fallo que permite mostrar una dominio falso en la barra de direcciones, utilizado últimamente
para realizar estafas a usuarios de la banca electrónica y de tarjetas de crédito, entre otros
-



Jose Manuel Tella Llop
MVP - Windows

http://www.multingles.net/jmt.htm
Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.


"Ille Corvus" wrote in message news:
El 3 Feb 2004 04:41:47 -0800, escribio:

Como se nego la existencia de dicha vulnerabilidad y además se me
insultó reteiradamente por comprobar su existencia, pongo la última
demostración de que llevaba razón.
En
http://www.hispasec.com/unaaldia/1927



Gracias por la informacion

Lo de los insultos es algo normal por estos foros, filtrar y listo
(parece un anuncio de detergente)...

Salu2.



Ille Corvus. Hic et Nunc.

Filtrado(s) (Kill-file):
jm tella llop (2003.10.25)
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida