« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Internet Explorer: XSS en DHTML Edit ActiveX Control  (Leído 1906 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Internet Explorer: XSS en DHTML Edit ActiveX Control
« en: 17 de Diciembre de 2004, 05:54:16 pm »
Internet Explorer: XSS en DHTML Edit ActiveX Control

Una vulnerabilidad causada por un error en el objeto "DHTML Edit ActiveX control" en Internet Explorer, podría ser explotada por usuarios maliciosos para conducir ataques del tipo CROSS-SITE-SCRIPTING (XSS).

Un fallo de este tipo, permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios (dominios cruzados). A esto se le llama "Cross-Site Scripting". Esto es válido para cualquier sitio web o para un archivo local.

El problema se produce cuando en ciertas situaciones, se utiliza con este control la función "execScript()". Esto puede ser explotado para ejecutar el código de un script en forma arbitraria, dentro de la sesión del usuario en el Explorer, y en el contexto de un sitio arbitrario.

Secunia ha construido un test que puede ser utilizado para comprobar si su navegador es afectado por este problema, en el enlace que se da a continuación.

ADVERTENCIA: Apenas UD. haga clic en el enlace que se indica a continuación, Y SIN NINGUNA CLASE DE AVISO PREVIO, se puede llegar a producir el intento de instalación de un componente de Office. Solo haga clic en el botón "Cancelar" de las diferentes ventanas emergentes que aparecerán (se pueden repetir). No se producirá ningún daño en su sistema.

Prueba de la vulnerabilidad (vea la ADVERTENCIA anterior):

http://secunia.com/internet_explorer_cross-site_scripting_vulnerability_test/

Una vez en la página de prueba, pulse en el enlace con este texto:
Test Your System
Test Now - Left Click On This Link
Si su navegador es vulnerable, se deberá abrir otra ventana, mostrando en la barra de direcciones el dominio http://www.citibank.com, pero su contenido será un texto relacionado con Secunia.

Software afectado:
- Microsoft Internet Explorer 6
- Microsoft Internet Explorer 6 SP1
- Microsoft Internet Explorer 6 Windows XP SP2

La vulnerabilidad ha sido confirmada en sistemas con Internet Explorer 6.0 y Windows XP SP1 y SP2, con todos los parches actualizados.

Solución:
No existe ningún parche para este problema al momento actual.
Se recomienda deshabilitar ActiveX, o utilizar la configuración sugerida en el siguiente artículo de VSAntivirus, que protege del uso malicioso de esta vulnerabilidad:

RECOMENDACIÓN: Para los usuarios menos avanzados, visitar esta sección
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm

Publicado en: http://www.vsantivirus.com/vul-ie-dhtml-activex-161204.htm
En línea

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 15870
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Internet Explorer: XSS en DHTML Edit ActiveX Control
« Respuesta #1 en: 17 de Diciembre de 2004, 07:36:37 pm »
Gracias danae

Un saludo
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.