- Otras noticias
Un nuevo phishing bancario afecta a los clientes de La Caixa.jpg)
Denegación de servicio en Apache 2.0.X.
Disminuye el spam y aumenta el phishing
Bagle.D, una nueva variante del gusano Bagle.jpg)
"Firefox no se congela, solo demora", según la Fundación Mozilla
Canarias es la Comunidad española que más cuida la Seguridad informática.jpg)
Actualización de seguridad de Internet Explorer.jpg)
Consejos para elegir su contraseña
Cross site scripting a través de mod_negotiation en Apache 1.x y 2.x
Una avalancha de falsas noticias distribuye malware a través del correo electrónico
- En el foro
-
VULNERABILIDADES
Vulnerabilidad 'Frame Injection' en Internet Explorer
08 Jun 2005 | VS ANTIVIRUS.jpg)
Araíz del redescubrimiento de este fallo en otros navegadores que también son afectados (Mozilla y Firefox), pudimos comprobar que el Internet Explorer, incluido SP2 con todos los parches, sigue siendo vulnerable al día de hoy (junio de 2005), siete años después de la aparición de la vulnerabilidad original.
El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar en otra ventana. Un ejemplo que permite mostrar contenido arbitrario de windowsupdate.microsoft.com, ha sido publicado por Secunia.com
Este tipo de vulnerabilidad recibe el nombre de "Frame Injection", porque habilita la inyección de código no autorizado en un marco (o frame) de una página Web.
Una explotación exitosa de esta vulnerabilidad puede permitir a un sitio malicioso cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable.
Esta vulnerabilidad es similar a otra, reparada en un parche publicado en un boletín de 1998 por Microsoft, y que afectaba al Internet Explorer 3 y 4 (MS98-020). La actual ha sido confirmada en Internet Explorer 6.0 con todas las actualizaciones al día, inclusive ejecutándose en Windows XP SP2.
Otras versiones del programa (5.5 y 5.01) también son vulnerables. Un fallo similar se produce en otros navegadores (ver "Más información").
Esto podría ser utilizado para la falsificación de sitios verdaderos (spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos.
La recomendación es no seguir enlaces sospechosos, y muchos menos aquellos existentes en mensajes de correo electrónico no solicitado.
Tampoco abrir ventanas o enlaces con sitios no confiables, mientras se navega por un sitio seguro, y jamás aceptar ingresar ninguna clase de datos, en sitios a los que se haya accedido mediante un enlace sugerido en un correo electrónico.
Más información:
Publicado originalmente en Secunia:
http://secunia.com/advisories/11978/
Referencias:
- Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):
CAN-2004-0718
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0718
CAN-2004-0719
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0719
- Referencias en Secunia:
Mozilla / Mozilla Firefox Frame Injection Vulnerability
SA15601 - http://secunia.com/advisories/15601/
Camino Frame Injection Vulnerability
SA15602 - http://secunia.com/advisories/15602/
Multiple Browsers Frame Injection Vulnerability
SA11978 - http://secunia.com/advisories/11978/
Internet Explorer Frame Injection Vulnerability
SA11966 - http://secunia.com/advisories/11966/ - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
