Internet Explorer 6: vulnerabilidad en XMLHTTP

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Internet Explorer 6: vulnerabilidad en XMLHTTP

Compartir

Secunia reporta una vulnerabilidad en Microsoft Internet Explorer, descubierta por Amit Klein, que podría ser explotada por usuarios maliciosos para manipular ciertos datos y realizar ataques mediante solicitudes HTTP normalmente no permitidas.

El problema se debe a que las entradas enviadas como parámetros en la función "open()" del objeto ActiveX "Microsoft.XMLHTTP", no son debidamente filtradas. El objeto XMLHTTP es utilizado normalmente para establecer una comunicación con un servidor HTTP, enviar pedidos y procesar los resultados.

La debilidad reportada, podría ser explotada para inyectar una solicitud HTTP no permitida, por medio de una entrada modificada de tal modo que contenga caracteres como "tab" y "newline".

De todos modos una explotación exitosa requiere que la solicitud HTTP sea enviada a un servidor (o a través de un proxy), que permita caracteres tab en lugar de espacios en ciertas partes de la solicitud realizada.

El impacto de esta vulnerabilidad, está en que la misma podría permitir eludir restricciones de seguridad, realizar spoofing (ocultar el verdadero origen de una solicitud), manipular datos, o acceder a un sistema de forma remota.

El problema es similar a otro detectado anteriormente en Firefox (solucionado en Firefox 1.0.7).

La vulnerabilidad ha sido confirmada en un sistema en Internet Explorer 6.0 y Microsoft Windows XP SP2, con todas las actualizaciones al día. Otras versiones también podrían ser afectadas.


Software vulnerable:

- Microsoft Internet Explorer 6.x


Solución:

No existe un parche oficial al momento de la publicación de esta alerta.

Referencias:

Microsoft Internet Explorer "XMLHTTP" HTTP Request Injection
http://secunia.com/advisories/16942/


Relacionados:

Firefox Multiple Vulnerabilities
http://secunia.com/advisories/16911/


Créditos:

Amit Klein

Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 28-Sep-2005, a las 00:29 Vistas: 435
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
explorer, internet, vulnerabilidad, xmlhttp


Temas Similares
» Nueva vulnerabilidad crítica en Internet Explorer 0
» Nueva vulnerabilidad tipo día-cero en Internet Explorer 0
» Vulnerabilidad "cross-domain" en Internet Explorer 6 0
» Vulnerabilidad crítica en VGX.DLL (Internet Explorer) 0
» Vulnerabilidad de HHCtrl en Internet Explorer 0
» Vulnerabilidad DoS en Internet Explorer (mshtmled.dll) 0
» Aclaracion vulnerabilidad en MSDDS.DLL explotable a través de Internet Explorer 0
» Vulnerabilidad en Internet Explorer (archivos JPEG) 0
» Vulnerabilidad en componente Java de Internet Explorer 0
» Vulnerabilidad 'Frame Injection' en Internet Explorer 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 06:05.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4