Tags Palabras claves

Posibilidad de sobrescritura de cookies en IE

16/11/2004 - 15:27 por Verónica B. | Informe spam
El Internet Explorer de Microsoft, posee una vulnerabilidad
que permite que algunas cookies puedan ser sobrescritas bajo
determinadas circunstancias. Una cookie es un archivo creado
por un sitio Web, que almacena información del equipo, como
las preferencias del usuario al visitar el sitio, etc.

El problema anunciado ocurre, porque el Internet Explorer
falla al comprobar ciertas cadenas de caracteres cuando acepta
determinadas cookies. Si la cookie aceptada posee un atributo
PATH modificado en forma maliciosa, se podría sobrescribir
otra cookie publicada por otro sitio, suplantándola.

Deben cumplirse ciertas condiciones para que el exploit pueda
ser aprovechado satisfactoriamente, como por ejemplo que el
nombre del dominio del objetivo contenga el nombre del dominio
del atacante, o que la dirección IP del objetivo contenga la
dirección IP del atacante.

La explotación exitosa del fallo, podría ayudar a un pirata
informático a robar las sesiones Web y luego acceder a las
mismas suplantando al usuario legítimo.

El problema fue comprobado en Internet Explorer 6.0 SP1.

La versión original del fallo fue anunciada en setiembre de
2003.


* Soluciones

Si usted utiliza Windows XP instale el Service Pack 2, que no
es afectado.

Para otros usuarios, una solución alternativa es cambiar la
configuración del Internet Explorer para que muestre siempre
una ventana de diálogo al aceptar una cookie. Para ello siga
estos pasos:

1. En una ventana del Internet Explorer, seleccione
Herramientas, Opciones de Internet.

2. Seleccione Privacidad, Opciones avanzadas

3. Marque la casilla "Sobrescribir la administración
automática de cookies".

4. En la misma ventana, en "Cookies de origen", marque la
opción "Pedir datos", y haga clic en el botón "Aceptar".

Fuente: www.vsantivirus.com


(Otra manera de solucionar, es instalando un personal Firewall. Por ejemplo
yo tengo el Outpost Personal Firewall Pro y bloquea cookies que tengan
cierta cadena de caracteres)

saludos
Verónica B.

Preguntas similare

Leer las respuestas

#1 Julian Peris [MVP IE/OE]
16/11/2004 - 21:38 | Informe spam
Gracias, Vero.

Saludos,

Julian
MVP - IE/OE
http://www.svetlian.com

NOTA. Por favor, indicad las preguntas y comentarios en los grupos, así
todos nos podemos beneficiar y comentad como fue la solución para poder
ayudar a resolver futuros problemas parecidos.

Soporte Técnico de Microsoft :
http://support.microsoft.com/defaul...ES;kbhowto

"Verónica B." wrote in message
news:%23LTyPj%
El Internet Explorer de Microsoft, posee una vulnerabilidad
que permite que algunas cookies puedan ser sobrescritas bajo
determinadas circunstancias. Una cookie es un archivo creado
por un sitio Web, que almacena información del equipo, como
las preferencias del usuario al visitar el sitio, etc.

El problema anunciado ocurre, porque el Internet Explorer
falla al comprobar ciertas cadenas de caracteres cuando acepta
determinadas cookies. Si la cookie aceptada posee un atributo
PATH modificado en forma maliciosa, se podría sobrescribir
otra cookie publicada por otro sitio, suplantándola.

Deben cumplirse ciertas condiciones para que el exploit pueda
ser aprovechado satisfactoriamente, como por ejemplo que el
nombre del dominio del objetivo contenga el nombre del dominio
del atacante, o que la dirección IP del objetivo contenga la
dirección IP del atacante.

La explotación exitosa del fallo, podría ayudar a un pirata
informático a robar las sesiones Web y luego acceder a las
mismas suplantando al usuario legítimo.

El problema fue comprobado en Internet Explorer 6.0 SP1.

La versión original del fallo fue anunciada en setiembre de
2003.


* Soluciones

Si usted utiliza Windows XP instale el Service Pack 2, que no
es afectado.

Para otros usuarios, una solución alternativa es cambiar la
configuración del Internet Explorer para que muestre siempre
una ventana de diálogo al aceptar una cookie. Para ello siga
estos pasos:

1. En una ventana del Internet Explorer, seleccione
Herramientas, Opciones de Internet.

2. Seleccione Privacidad, Opciones avanzadas

3. Marque la casilla "Sobrescribir la administración
automática de cookies".

4. En la misma ventana, en "Cookies de origen", marque la
opción "Pedir datos", y haga clic en el botón "Aceptar".

Fuente: www.vsantivirus.com


(Otra manera de solucionar, es instalando un personal Firewall. Por
ejemplo
yo tengo el Outpost Personal Firewall Pro y bloquea cookies que tengan
cierta cadena de caracteres)

saludos
Verónica B.


Respuesta Responder a este mensaje
#2 Verónica B.
16/11/2004 - 22:45 | Informe spam
You are wellcome Julian:)

saludos
Verónica B.


"Julian Peris [MVP IE/OE]" escribió en el
mensaje news:%
Gracias, Vero.

Saludos,

Julian
MVP - IE/OE
http://www.svetlian.com

NOTA. Por favor, indicad las preguntas y comentarios en los grupos, así
todos nos podemos beneficiar y comentad como fue la solución para poder
ayudar a resolver futuros problemas parecidos.

Soporte Técnico de Microsoft :
http://support.microsoft.com/defaul...ES;kbhowto

"Verónica B." wrote in message
news:%23LTyPj%
> El Internet Explorer de Microsoft, posee una vulnerabilidad
> que permite que algunas cookies puedan ser sobrescritas bajo
> determinadas circunstancias. Una cookie es un archivo creado
> por un sitio Web, que almacena información del equipo, como
> las preferencias del usuario al visitar el sitio, etc.
>
> El problema anunciado ocurre, porque el Internet Explorer
> falla al comprobar ciertas cadenas de caracteres cuando acepta
> determinadas cookies. Si la cookie aceptada posee un atributo
> PATH modificado en forma maliciosa, se podría sobrescribir
> otra cookie publicada por otro sitio, suplantándola.
>
> Deben cumplirse ciertas condiciones para que el exploit pueda
> ser aprovechado satisfactoriamente, como por ejemplo que el
> nombre del dominio del objetivo contenga el nombre del dominio
> del atacante, o que la dirección IP del objetivo contenga la
> dirección IP del atacante.
>
> La explotación exitosa del fallo, podría ayudar a un pirata
> informático a robar las sesiones Web y luego acceder a las
> mismas suplantando al usuario legítimo.
>
> El problema fue comprobado en Internet Explorer 6.0 SP1.
>
> La versión original del fallo fue anunciada en setiembre de
> 2003.
>
>
> * Soluciones
>
> Si usted utiliza Windows XP instale el Service Pack 2, que no
> es afectado.
>
> Para otros usuarios, una solución alternativa es cambiar la
> configuración del Internet Explorer para que muestre siempre
> una ventana de diálogo al aceptar una cookie. Para ello siga
> estos pasos:
>
> 1. En una ventana del Internet Explorer, seleccione
> Herramientas, Opciones de Internet.
>
> 2. Seleccione Privacidad, Opciones avanzadas
>
> 3. Marque la casilla "Sobrescribir la administración
> automática de cookies".
>
> 4. En la misma ventana, en "Cookies de origen", marque la
> opción "Pedir datos", y haga clic en el botón "Aceptar".
>
> Fuente: www.vsantivirus.com
>
>
> (Otra manera de solucionar, es instalando un personal Firewall. Por
> ejemplo
> yo tengo el Outpost Personal Firewall Pro y bloquea cookies que tengan
> cierta cadena de caracteres)
>
> saludos
> Verónica B.
>
>

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaRespuesta Tengo una respuesta
Search Busqueda sugerida