- Noticias relacionadas
Microsoft publica los parches para tapar una docena de fallos de seguridad
Internet Explorer SP2: Ejecución automática de código 2.jpg)
Un nuevo 'agujero' en Internet Explorer facilita los ataques de 'phishing'
Detección local de archivos en Internet Explorer
Importante actualización para Internet Explorer 6 .jpg)
Nuevas variantes del virus MyDoom se ceban con Internet Explorer
- Otras noticias
Desbordamiento de búfer en ZoneAlarm Internet Security Suite
Cambios en la arquitectura de los ordenadores
Parches para múltiples productos Oracle
Microsoft advierte de fallos "críticos" de seguridad
Los spammers se "ponen las pilas" en verano
La evolución del "antivirus" de Mac OS X
Vulnerabilidad en Wi-Fi Protected Setup compromete el PIN
Acceso administrativo sin contraseña en routers SMC
Salto de restricciones a través de 'EPS_DELETE_FILE' en SAP Netweaver
Detectan 67 nuevas variantes del gusano Spamta en tan sólo 7 días
- En el foro
-
VULNERABILIDADES
Tres vulnerabilidades críticas en Internet Explorer
10 Ene 2005 | VS ANTIVIRUS.jpg)
Algunas de estas vulnerabilidades son variantes de otras recientemente anunciadas, algunas de ellas aún no corregidas, según publica VSantivirus.
Vulnerabilidad 1. Se produce por una insuficiente validación en los eventos de arrastrar y soltar desde la zona "Internet" hacia recursos locales utilizando archivos de imágenes válidos o de multimedia embebidos en código HTML. Esto puede ser explotado por ejemplo, por un sitio web malicioso para plantar en forma arbitraria documentos HTML en el sistema del usuario, que pueden permitir la ejecución de scripts en la zona de seguridad local.
Se trata de una variante de la siguiente vulnerabilidad:
Grave vulnerabilidad "Drag and Drop" en IE
www.vsantivirus.com/vul-ie-drag-and-drop.htm
Vulnerabilidad 2. Un error de restricción de zonas de seguridad cuando un control embebido en un archivo de ayuda HTML, por ejemplo cuando un sitio web malicioso hace referencia a un archivo índice (.HHK) especialmente modificado, puede ejecutar un documento HTML local o inyectar un script en el contexto de un documento previamente cargado utilizando un javascript conteniendo un enlace (URL) malicioso.
La explotación exitosa de este fallo puede permitir la ejecución de un HTML y un script en la sesión del navegador del usuario actual, en el contexto de un sitio arbitrario, o ejecutar un programa local con parámetros desde la zona de seguridad local, utilizando un enlace a un archivo de ayuda HTML.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Vulnerabilidad 3. Un error de restricción de zonas de seguridad en el manejo del comando "Temas relacionados" en un control embebido en archivos de ayuda HTML, puede ser explotado por un sitio web malicioso para ejecutar un script en forma arbitraria, en el contexto de la zona o sitio visitado.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Secunia ha publicado un test que puede ser utilizado para comprobar esta vulnerabilidad en el siguiente enlace:
secunia.com/internet_explorer_command_execution_vulnerability_test/
NOTA: la prueba puede pedir la instalación del control ActiveX "hhctrl.ocx".
Las vulnerabilidad 1 y 2, o la 3 por si sola, en combinación con un comportamiento inadecuado de un modelo de ActiveX Data Object (ADO), pueden escribir archivos en forma arbitraria comprometiendo el sistema del usuario. Esto ha sido comprobado en sistemas con Internet Explorer 6 y Windows XP SP2 con todos los parches y actualizaciones al día.
Software afectado:
- Microsoft Internet Explorer 6
Solución alternativa:
Configurar Internet Explorer como se recomienda en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
www.vsantivirus.com/faq-sitios-confianza.htm
Esto disminuye el riesgo de abrir páginas maliciosas en sitios peligrosos, pero no evita que un usuario confiado siga enlaces o descargue archivos de sitios no confiables sin tomar las precauciones mínimas.
Referencias:
Secunia Advisory: SA12889
Microsoft Internet Explorer Multiple Vulnerabilities
secunia.com/advisories/12889/
Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise
freehost07.websamba.com/greyhats/sp2rc-analysis.htm
Microsoft Internet Explorer Drag and Drop Vulnerability
secunia.com/advisories/12321/
Cómo facilitar la protección del equipo ante el problema de seguridad Click and Scroll de Internet Explorer
support.microsoft.com/kb/888534
Cómo deshabilitar contenido activo en Internet Explorer
support.microsoft.com/kb/154036
US-CERT VU#939688:
www.kb.cert.org/vuls/id/939688 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
testgoodgoogle
No me gusta hacer ningún comentario en pagina Web pero como usted presenta esta pagina Web yo quiero qué demuestre otra vulnerabilidad de Internet Explorer es cuando se instala un supuesto antivirus y este sustituye todas la pagina que se hablen con Internet explore incluyendo la pagina Web abierta con navegador Web Firefox.
Un ejemplo palpable es descargue el supuesto antivirus AV360.exe instálelo y luego trate de desatinarlo o desinstalarlo este se convierte en un virus mas molesto que todos los virus que usted ha visto.
Noticias relacionadas Microsoft publica los parches para tapar una docena de fallos de seguridad
Internet Explorer SP2: Ejecución automática de código 2
Un nuevo 'agujero' en Internet Explorer facilita los ataques de 'phishing'
Detección local de archivos en Internet Explorer
Importante actualización para Internet Explorer 6
Nuevas variantes del virus MyDoom se ceban con Internet Explorer
Otras noticias Encuentran un bug en WordPress 2.0.5
Normas para la seguridad de los dispositivos móviles
Actualización de seguridad del kernel Linux
Revelación de información sensible y subida de archivos arbitrarios en PHP
Expertos advierten sobre la seguridad en AIR de Adobe
Microsoft confirma el problema con el parche MS06-007
Actualizaciones para Firefox (2.0.0.4 y 1.5.0.12)
Anti Spywares sospechosos o no confiables
Crecen técnicas como el "ciber-bullying" o el "typo-squatting"
Cuidado con la revisión del correo electrónico tras la Semana Santa
Más noticias
En el foro ¿Son las empresas que fabrican antivirus las responsables de los virus?
¿Alguna vez se te ha infectado el ordenador?
Una nueva amenaza de seguridad informática entra en escena: el Clickjacking
detective privado...
Seguridad en Centrales Hidroelectricas
Ir al foro de SeguridadVULNERABILIDADES
Tres vulnerabilidades críticas en Internet Explorer
Algunas vulnerabilidades descubiertas en Internet Explorer, pueden ser explotadas por usuarios maliciosos para comprometer los sistemas afectados, a través de la ejecución de secuencias de comandos ActiveX (scripting) en zonas de seguridad cruzadas o eludiendo las características de seguridad implementadas en Windows XP SP2, según publica Secunia.
10 Ene 2005 | VS ANTIVIRUS
Algunas de estas vulnerabilidades son variantes de otras recientemente anunciadas, algunas de ellas aún no corregidas, según publica VSantivirus.
Vulnerabilidad 1. Se produce por una insuficiente validación en los eventos de arrastrar y soltar desde la zona "Internet" hacia recursos locales utilizando archivos de imágenes válidos o de multimedia embebidos en código HTML. Esto puede ser explotado por ejemplo, por un sitio web malicioso para plantar en forma arbitraria documentos HTML en el sistema del usuario, que pueden permitir la ejecución de scripts en la zona de seguridad local.
Se trata de una variante de la siguiente vulnerabilidad:
Grave vulnerabilidad "Drag and Drop" en IE
www.vsantivirus.com/vul-ie-drag-and-drop.htm
Vulnerabilidad 2. Un error de restricción de zonas de seguridad cuando un control embebido en un archivo de ayuda HTML, por ejemplo cuando un sitio web malicioso hace referencia a un archivo índice (.HHK) especialmente modificado, puede ejecutar un documento HTML local o inyectar un script en el contexto de un documento previamente cargado utilizando un javascript conteniendo un enlace (URL) malicioso.
La explotación exitosa de este fallo puede permitir la ejecución de un HTML y un script en la sesión del navegador del usuario actual, en el contexto de un sitio arbitrario, o ejecutar un programa local con parámetros desde la zona de seguridad local, utilizando un enlace a un archivo de ayuda HTML.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Vulnerabilidad 3. Un error de restricción de zonas de seguridad en el manejo del comando "Temas relacionados" en un control embebido en archivos de ayuda HTML, puede ser explotado por un sitio web malicioso para ejecutar un script en forma arbitraria, en el contexto de la zona o sitio visitado.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Secu
Noticias relacionadas Microsoft publica los parches para tapar una docena de fallos de seguridad
Internet Explorer SP2: Ejecución automática de código 2
Un nuevo 'agujero' en Internet Explorer facilita los ataques de 'phishing'
Detección local de archivos en Internet Explorer
Importante actualización para Internet Explorer 6
Nuevas variantes del virus MyDoom se ceban con Internet Explorer
Otras noticias Encuentran un bug en WordPress 2.0.5
Normas para la seguridad de los dispositivos móviles
Actualización de seguridad del kernel Linux
Revelación de información sensible y subida de archivos arbitrarios en PHP
Expertos advierten sobre la seguridad en AIR de Adobe
Microsoft confirma el problema con el parche MS06-007
Actualizaciones para Firefox (2.0.0.4 y 1.5.0.12)
Anti Spywares sospechosos o no confiables
Crecen técnicas como el "ciber-bullying" o el "typo-squatting"
Cuidado con la revisión del correo electrónico tras la Semana Santa
Más noticias
En el foro ¿Son las empresas que fabrican antivirus las responsables de los virus?
¿Alguna vez se te ha infectado el ordenador?
Una nueva amenaza de seguridad informática entra en escena: el Clickjacking
detective privado...
Seguridad en Centrales Hidroelectricas
Ir al foro de SeguridadVULNERABILIDADES
Tres vulnerabilidades críticas en Internet Explorer
Algunas vulnerabilidades descubiertas en Internet Explorer, pueden ser explotadas por usuarios maliciosos para comprometer los sistemas afectados, a través de la ejecución de secuencias de comandos ActiveX (scripting) en zonas de seguridad cruzadas o eludiendo las características de seguridad implementadas en Windows XP SP2, según publica Secunia.
10 Ene 2005 | VS ANTIVIRUS
Algunas de estas vulnerabilidades son variantes de otras recientemente anunciadas, algunas de ellas aún no corregidas, según publica VSantivirus.
Vulnerabilidad 1. Se produce por una insuficiente validación en los eventos de arrastrar y soltar desde la zona "Internet" hacia recursos locales utilizando archivos de imágenes válidos o de multimedia embebidos en código HTML. Esto puede ser explotado por ejemplo, por un sitio web malicioso para plantar en forma arbitraria documentos HTML en el sistema del usuario, que pueden permitir la ejecución de scripts en la zona de seguridad local.
Se trata de una variante de la siguiente vulnerabilidad:
Grave vulnerabilidad "Drag and Drop" en IE
www.vsantivirus.com/vul-ie-drag-and-drop.htm
Vulnerabilidad 2. Un error de restricción de zonas de seguridad cuando un control embebido en un archivo de ayuda HTML, por ejemplo cuando un sitio web malicioso hace referencia a un archivo índice (.HHK) especialmente modificado, puede ejecutar un documento HTML local o inyectar un script en el contexto de un documento previamente cargado utilizando un javascript conteniendo un enlace (URL) malicioso.
La explotación exitosa de este fallo puede permitir la ejecución de un HTML y un script en la sesión del navegador del usuario actual, en el contexto de un sitio arbitrario, o ejecutar un programa local con parámetros desde la zona de seguridad local, utilizando un enlace a un archivo de ayuda HTML.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Vulnerabilidad 3. Un error de restricción de zonas de seguridad en el manejo del comando "Temas relacionados" en un control embebido en archivos de ayuda HTML, puede ser explotado por un sitio web malicioso para ejecutar un script en forma arbitraria, en el contexto de la zona o sitio visitado.
NOTA: Esto puede eludir las restricciones de seguridad en la zona local del SP2 de Windows XP.
Secunia ha publicado un test que puede ser utilizado para comprobar esta vulnerabilidad en el siguiente enlace:
secunia.com/internet_explorer_command_execution_vulnerability_test/
NOTA: la prueba puede pedir la instalación del control ActiveX "hhctrl.ocx".
Las vulnerabilidad 1 y 2, o la 3 por si sola, en combinación con un comportamiento inadecuado de un modelo de ActiveX Data Object (ADO), pueden escribir archivos en forma arbitraria comprometiendo el sistema del usuario. Esto ha sido comprobado en sistemas con Internet Explorer 6 y Windows XP SP2 con todos los parches y actualizaciones al día.
Software afectado:
- Microsoft Internet Explorer 6
Solución alternativa:
Configurar Internet Explorer como se recomienda en el siguiente artículo:
Configuración personalizada para hacer más seguro el IE
www.vsantivirus.com/faq-sitios-confianza.htm
Esto disminuye el riesgo de abrir páginas maliciosas en sitios peligrosos, pero no evita que un usuario confiado siga enlaces o descargue archivos de sitios no confiables sin tomar las precauciones mínimas.
Referencias:
Secunia Advisory: SA12889
Microsoft Internet Explorer Multiple Vulnerabilities
secunia.com/advisories/12889/
Microsoft Internet Explorer XP SP2 Fully Automated Remote Compromise
freehost07.websamba.com/greyhats/sp2rc-analysis.htm
Microsoft Internet Explorer Drag and Drop Vulnerability
secunia.com/advisories/12321/
Cómo facilitar la protección del equipo ante el problema de seguridad Click and Scroll de Internet Explorer
support.microsoft.com/kb/888534
Cómo deshabilitar contenido activo en Internet Explorer
support.microsoft.com/kb/154036
US-CERT VU#939688:
www.kb.cert.org/vuls/id/939688
Boletín Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
Comentarios LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Editar | Borrar | #1 | 01 Sep 2007, 07:45 test testgoodgoogle
Editar | Borrar | #2 | 21 Mar 2009, 04:19 macotito No me gusta hacer ningún comentario en pagina Web pero como usted presenta esta pagina Web yo quiero qué demuestre otra vulnerabilidad de Internet Explorer es cuando se instala un supuesto antivirus y este sustituye todas la pagina que se hablen con Internet explore incluyendo la pagina Web abierta con navegador Web Firefox.
Un ejemplo palpable es descargue el supuesto antivirus AV360.exe instálelo y luego trate de desatinarlo o desinstalarlo este se convierte en un virus mas molesto que todos los virus que usted ha visto.
Entérate de cuándo hay nuevos comentarios
No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia
Autor
Comentario
BBCode (Ayuda): , ,
Publicidad Ahora en LaFlecha puedes encontrar cursos y másters
Teléfonos Móviles Videojuegos Informática Libros y Revistas
Acerca de LaFlecha Contactar Política de privacidad RSS/RDF