-SEGURIDAD- Error de diseño en IE permite el robo de información

03/12/2005 - 09:30 por Juancho | Informe spam
Servicio de copiado y pegado.


_____________________________________________________________

Error de diseño en IE permite el robo de información


http://www.vsantivirus.com/vul-ie-css-021205.htm

Error de diseño en IE permite el robo de información

Por Angela Ruiz

Un investigador israelí, ha publicado información que
demuestra como un previamente desconocido error de diseño en
Microsoft Internet Explorer, puede ser utilizado por sitios
web maliciosos para el robo de información sensible
perteneciente al usuario.

Según el hacker israelí Matan Gillon, un agujero de seguridad
en Internet Explorer, puede permitir a un sitio web, acceder
a archivos en la computadora del visitante, donde se
almacenan datos acerca de la relación del usuario con otros
sitios de Internet.

Gillon demuestra en su sitio, cómo se pueden robar los datos
de la máquina de la víctima, indexados por el Google Desktop
Search, un software gratuito capaz de localizar contenidos en
archivos de la computadora del propio usuario.

Sin embargo, el problema no es con el software de Google, el
cuál posee varias medidas de seguridad incorporadas para
asegurar que los datos guardados no puedan ser leídos por
nadie más que el usuario.

La investigación de Gillon, demuestra que si un usuario de IE
ya está logeado con cualquier servicio basado en Web (por
ejemplo Gmail o Hotmail), una página web maliciosa podría
ejecutar ciertas operaciones en la cuenta del usuario, tales
como abrir sus mensajes de correo electrónico y reenviarlos
al sitio web remoto.

Según Gillon, el problema ocurre porque el Internet Explorer
no interpreta o filtra adecuadamente los archivos de hojas de
estilo en cascada (CSS por las siglas en inglés de Cascading
Style Sheet), un lenguaje creado para ayudar en el diseño y
presentación de páginas Web, utilizado por miles de sitios en
Internet.

El fallo no puede explotarse si se configura el Internet
Explorer como VSAntivirus sugiere en el siguiente artículo,
para impedir la ejecución de scripts (solo los sitios que el
usuario considere seguros podrán hacerlo):

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm

Microsoft ha comentado que está investigando el problema,
reconociendo que el exploit detallado por Gillon,
potencialmente puede permitir a un atacante acceder a ciertos
contenidos si se cumplen determinadas condiciones.


* Más información:

Google Desktop Exposed: Exploiting an Internet Explorer
Vulnerability to Phish User Information
http://www.hacker.co.il/security/ie...mport.html

IE Design Flaw Lets Hacker Crack Google Desktop
http://www.eweek.com/article2/0,175...X1K0000614


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Preguntas similare

Leer las respuestas

#1 Verónica B.
03/12/2005 - 13:57 | Informe spam
Tenés permiso de VSantivirus para publicar ésto?


Verónica B.


"Juancho" escribió en el mensaje
news:dmrl30$1mf$
Servicio de copiado y pegado.


_____________________________________________________________

Error de diseño en IE permite el robo de información


http://www.vsantivirus.com/vul-ie-css-021205.htm

Error de diseño en IE permite el robo de información

Por Angela Ruiz

Un investigador israelí, ha publicado información que
demuestra como un previamente desconocido error de diseño en
Microsoft Internet Explorer, puede ser utilizado por sitios
web maliciosos para el robo de información sensible
perteneciente al usuario.

Según el hacker israelí Matan Gillon, un agujero de seguridad
en Internet Explorer, puede permitir a un sitio web, acceder
a archivos en la computadora del visitante, donde se
almacenan datos acerca de la relación del usuario con otros
sitios de Internet.

Gillon demuestra en su sitio, cómo se pueden robar los datos
de la máquina de la víctima, indexados por el Google Desktop
Search, un software gratuito capaz de localizar contenidos en
archivos de la computadora del propio usuario.

Sin embargo, el problema no es con el software de Google, el
cuál posee varias medidas de seguridad incorporadas para
asegurar que los datos guardados no puedan ser leídos por
nadie más que el usuario.

La investigación de Gillon, demuestra que si un usuario de IE
ya está logeado con cualquier servicio basado en Web (por
ejemplo Gmail o Hotmail), una página web maliciosa podría
ejecutar ciertas operaciones en la cuenta del usuario, tales
como abrir sus mensajes de correo electrónico y reenviarlos
al sitio web remoto.

Según Gillon, el problema ocurre porque el Internet Explorer
no interpreta o filtra adecuadamente los archivos de hojas de
estilo en cascada (CSS por las siglas en inglés de Cascading
Style Sheet), un lenguaje creado para ayudar en el diseño y
presentación de páginas Web, utilizado por miles de sitios en
Internet.

El fallo no puede explotarse si se configura el Internet
Explorer como VSAntivirus sugiere en el siguiente artículo,
para impedir la ejecución de scripts (solo los sitios que el
usuario considere seguros podrán hacerlo):

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm

Microsoft ha comentado que está investigando el problema,
reconociendo que el exploit detallado por Gillon,
potencialmente puede permitir a un atacante acceder a ciertos
contenidos si se cumplen determinadas condiciones.


* Más información:

Google Desktop Exposed: Exploiting an Internet Explorer
Vulnerability to Phish User Information
http://www.hacker.co.il/security/ie...mport.html

IE Design Flaw Lets Hacker Crack Google Desktop



http://www.eweek.com/article2/0,175...X1K0000614


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com






avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0548-2, 03/12/2005
Comprobado el: 03/12/05 09:54:17 a.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com



Respuesta Responder a este mensaje
#2 Pe
03/12/2005 - 14:07 | Informe spam
Verónica B. a formulé ce sábado :
Tenés permiso de VSantivirus para publicar ésto?



¿Usted lo tiene?
Respuesta Responder a este mensaje
#3 Verónica B.
03/12/2005 - 14:18 | Informe spam
Así es.


"Pe" escribió en el mensaje
news:
Verónica B. a formulé ce sábado :
> Tenés permiso de VSantivirus para publicar ésto?

¿Usted lo tiene?





avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0548-2, 03/12/2005
Comprobado el: 03/12/05 10:18:16 a.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com



Respuesta Responder a este mensaje
#4 Juancho
03/12/2005 - 17:04 | Informe spam
"Verónica B." escribió en el mensaje
news:%23y0wJlA%
: Tenés permiso de VSantivirus para publicar ésto?
:
:
: --
: Verónica B.
:

Su pregunta, en mi humilde opinion, destila mala leche y prepotencia. No pensaba
responderle, pero para que el foro sepa que el permiso de VSAntivirus no es un
privilegio de usted ni de nadie, le contesto.

Lea usted TODO el boletin. Al final pone esto:

La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Respuesta Responder a este mensaje
#5 Verónica B.
03/12/2005 - 21:13 | Informe spam
La mala leche la demostró Ud., con su comentario: "Una experta en copiar y
pegar. De eso no hay duda".

Si Ud. me trata bien, yo lo trataré igual, si no...


"Juancho" escribió en el mensaje
news:dmsfmq$dug$

"Verónica B." escribió en el


mensaje
news:%23y0wJlA%
: Tenés permiso de VSantivirus para publicar ésto?
:
:
: --
: Verónica B.
:

Su pregunta, en mi humilde opinion, destila mala leche y prepotencia. No


pensaba
responderle, pero para que el foro sepa que el permiso de VSAntivirus no


es un
privilegio de usted ni de nadie, le contesto.

Lea usted TODO el boletin. Al final pone esto:

La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.





avast! Antivirus: Mensaje entrante limpio.
Base de datos de Virus (VPS): 0548-2, 03/12/2005
Comprobado el: 03/12/05 05:09:43 p.m.
avast! - copyright (c) 1988-2005 ALWIL Software.
http://www.avast.com



Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida