2 - IE: Revelación de información privada con "mhtml:"
_____________________________________________________________
http://www.vsantivirus.com/vul-ie-mhtml-270406.htm
IE: Revelación de información privada con "mhtml:"
Por Angela Ruiz
angela@videosoft.net.uy
Una nueva vulnerabilidad en Internet Explorer, hecha pública
por Secunia, podría ser explotada por personas maliciosas
para revelar información potencialmente sensible.
La vulnerabilidad es provocada por un error en el manejo del
URI "mhtml:", que permite eludir restricciones de seguridad.
El problema puede ser explotado para acceder a documentos
servidos por otro sitio web.
Secunia ha publicado una prueba de concepto en el siguiente
enlace:
http://secunia.com/Internet_Explore...lity_Test/
La prueba muestra contenido de news.google.com en el contexto
del navegador. Ello significa que si usted está accediendo a
su cuenta bancaria vía web, cualquier otro sitio que visite,
podría ser capaz de recuperar información confidencial de su
banco. Esto también podría ser empleado para obtener datos
confidenciales ingresados en sitios como eBay o Paypal.
La vulnerabilidad ha sido confirmada aún en un sistema con
todos los parches al día, bajo Internet Explorer 6.0 y
Microsoft Windows XP SP2.
* Software vulnerable
- Microsoft Internet Explorer 6 SP1 (Windows 2000 SP4)
- Microsoft Internet Explorer 6 SP1 (Windows XP SP1)
- Microsoft Internet Explorer 6 (Windows XP SP2)
- Microsoft Internet Explorer 6 (Windows Server 2003)
- Microsoft Internet Explorer 6 (Windows Server 2003 SP1)
- Microsoft Internet Explorer 6 SP1 (Windows 98)
- Microsoft Internet Explorer 6 SP1 (Windows 98 SE)
- Microsoft Internet Explorer 6 SP1 (Windows Millennium)
* Solución:
No existen soluciones oficiales al momento de esta alerta. La
configuración sugerida por VSAntivirus en el siguiente
enlace, protege al usuario de esta vulnerabilidad:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm
* Referencias:
Internet Explorer "mhtml:"
Redirection Disclosure of Sensitive Information
http://secunia.com/advisories/19738/
Internet Explorer Arbitrary Content Disclosure Vulnerability Test
http://secunia.com/Internet_Explore...lity_Test/
Microsoft Internet Explorer
"mhtml" Cross Domain Information Disclosure Vulnerability
http://www.frsirt.com/english/advisories/2006/1558
* Créditos:
codedreamer
* Glosario
URI (Uniform Resource Identifier o Identificador Universal de
Recursos), es la secuencia de caracteres que identifica
cualquier recurso (servicio, página, documento, dirección de
correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo
(http:, ftp:, mailto:, etc.), y el nombre del recurso
(//dominio, usuario@dominio, etc.). Un URL (Uniform Resource
Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
_____________________________________________________________
Gentileza de
Osvaldo Luis Vila
Burzaco- Buenos Aires.
Argentina.
Casi en el sur del Continente Americano.
Te interesa la informática?
http://www.fermu.com
http://www.vsantivirus.com
PRIMERO LA SEGURIDAD-BÁSICO
Ad-Aware SE 1.06- Spybot-Search 1.4- Spyware Blaster 3.5.1- Ccleaner
1.28.277.
A²- Pest Patrol- CWShredder 2.19- Hijack 1.99.
AVG free 7.0- AVAST 4.7-
ZoneAlarm 6.1.744.001
Leer las respuestas