- Noticias relacionadas
Cómo nos protege el SP2 al visitar sitios web13 Sep 2004
Programas afectados por Windows XP SP230 Ago 2004
- Otras noticias
Encuentran una vulnerabilidad en el manejo de los URI en Windows
Los usuarios de QuickTime están en peligro por un exploit Zero-day
Archivos GIF malformados bloquean a Mozilla Firefox.jpg)
Netsky, el virus de mayor propagación del 2004
Desbordamiento de búfer en Oracle Application Server Web Cache
Encuentran una vulnerabilidad en OpenOffice.org por problemas con archivos WMF
Aparecen problemas de seguridad en productos ofimáticos
Ejecución de código en servidores webmail de Sun.jpg)
Microsoft publica cinco actualizaciones en diciembre
El Foro de las Evidencias Electrónicas elabora una guía sobre seguridad en Internet
- En el foro
-
más bugs
Ejecución XSS con archivo MHTML afecta al Service Pack 2
23 Ago 2004 | VS ANTIVIRUS.jpg)
Un JavaScript, podría ser invocado en el contexto de la nueva página, haciendo posible un XSS ("Cross Site Scripting", la ejecución de un script de una página en otra). En este caso, ello es lo que se produce cuando un archivo MHTML (o MHT) construido maliciosamente, es invocado localmente, según comenta VSantivirus.
Los MHTML (encapsulación de extensiones multiuso de correo -MIME- en un solo HTML), son utilizados por ejemplo, por el Outlook Express al enviarse varios contenidos con formato web en el cuerpo de un mensaje de correo electrónico.
Una prueba de concepto recientemente publicada, emplea etiquetas IMG en un archivo MHT dentro de un ZIP, conteniendo un JavaScript que carga una página Web remota. El JavaScript se ejecuta en el contexto de la zona de seguridad local, cuando el archivo MHTML es invocado desde el disco local (podría ocurrir cuando se descarga un mensaje y se abre para leerlo, por ejemplo).
El problema afecta al Microsoft Internet Explorer 6.0 con todos los parches y actualizaciones, cuando es instalado en una computadora que está ejecutando Windows XP con el nuevo Service Pack 2 instalado. Posiblemente también ocurra en versiones anteriores de Windows.
La prueba de concepto está disponible en la página del descubridor del fallo.
Créditos: "http-equiv@excite.com" <1@malware.com>.
Referencias:
Microsoft Windows XP SP2
http://www.securityfocus.com/archive/1/372253 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
