Múltiples navegadores vulnerables a ataques XSS

Compartir

Una vulnerabilidad del tipo XSS (cross-site scripting), ha sido reportada en múltiples navegadores. La misma puede ser explotada por atacantes remotos para ejecutar scripts (archivos de comandos), de forma arbitraria.

El problema se produce por un error al procesarse páginas web que no especifican la codificación de caracteres (charset), lo que puede permitir eludir las restricciones de seguridad del navegador, permitiendo la ejecución de código en ventanas pertenecientes a diferentes dominios.

La codificación de caracteres permite la correcta representación del contenido de una página HTML, con los caracteres ASCII correspondientes al idioma utilizado.

Software afectado:

- Firefox 2.0.0.1 (y anteriores)
- Internet Explorer 7
- Opera 9

Software NO afectado:

- Firefox 2.0.0.2
- Internet Explorer 6
- Opera 8

Relacionados:

Advisory 03/2007: Multiple Browsers Cross Domain Charset Inheritance Vulnerability
http://www.hardened-php.net/advisory_032007.142.html

Microsoft Internet Explorer UTF-7 Charset Inheritance Cross-Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2007/0744

Opera Browser UTF-7 Charset Inheritance Client-Side Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2007/0745

Créditos:

Stefan Esser

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 02-Mar-2007, a las 00:30 Vistas: 612
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)