- Otras noticias
Cada cinco segundos se infecta una página web con un virus
¿Ha sido roto el captcha de Gmail?
PHP 5.3.8 corrige un fallo introducido por la propia PHP 6 días atrás
El 'virus del Kama Sutra' se extiende por la Red
El troyano URLZone desarrolla técnicas "anti-mulas"
Descubren una vulnerabilidad en Quicktime que tiene más de 10 años
Alerta sobre falsa actualización de Microsoft
Los timos te persiguen… ¡también el día de San Valentín!
Un nuevo virus podría amenazar las cuentas bancarias de Internet, según el SANS
Vulnerabilidad local en PGP Desktop permite la elevación de privilegios
- En el foro
-
VULNERABILIDADES
Vulnerabilidad 'Frame Injection' en Internet Explorer
08 Jun 2005 | VS ANTIVIRUS.jpg)
Araíz del redescubrimiento de este fallo en otros navegadores que también son afectados (Mozilla y Firefox), pudimos comprobar que el Internet Explorer, incluido SP2 con todos los parches, sigue siendo vulnerable al día de hoy (junio de 2005), siete años después de la aparición de la vulnerabilidad original.
El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar en otra ventana. Un ejemplo que permite mostrar contenido arbitrario de windowsupdate.microsoft.com, ha sido publicado por Secunia.com
Este tipo de vulnerabilidad recibe el nombre de "Frame Injection", porque habilita la inyección de código no autorizado en un marco (o frame) de una página Web.
Una explotación exitosa de esta vulnerabilidad puede permitir a un sitio malicioso cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable.
Esta vulnerabilidad es similar a otra, reparada en un parche publicado en un boletín de 1998 por Microsoft, y que afectaba al Internet Explorer 3 y 4 (MS98-020). La actual ha sido confirmada en Internet Explorer 6.0 con todas las actualizaciones al día, inclusive ejecutándose en Windows XP SP2.
Otras versiones del programa (5.5 y 5.01) también son vulnerables. Un fallo similar se produce en otros navegadores (ver "Más información").
Esto podría ser utilizado para la falsificación de sitios verdaderos (spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos.
La recomendación es no seguir enlaces sospechosos, y muchos menos aquellos existentes en mensajes de correo electrónico no solicitado.
Tampoco abrir ventanas o enlaces con sitios no confiables, mientras se navega por un sitio seguro, y jamás aceptar ingresar ninguna clase de datos, en sitios a los que se haya accedido mediante un enlace sugerido en un correo electrónico.
Más información:
Publicado originalmente en Secunia:
http://secunia.com/advisories/11978/
Referencias:
- Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):
CAN-2004-0718
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0718
CAN-2004-0719
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0719
- Referencias en Secunia:
Mozilla / Mozilla Firefox Frame Injection Vulnerability
SA15601 - http://secunia.com/advisories/15601/
Camino Frame Injection Vulnerability
SA15602 - http://secunia.com/advisories/15602/
Multiple Browsers Frame Injection Vulnerability
SA11978 - http://secunia.com/advisories/11978/
Internet Explorer Frame Injection Vulnerability
SA11966 - http://secunia.com/advisories/11966/ - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
