Vulnerabilidad 'Frame Injection' en Internet Explorer

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Vulnerabilidad 'Frame Injection' en Internet Explorer

Compartir

En junio de 2004, Mark Laurence, hizo pública una vulnerabilidad en Microsoft Internet Explorer, similar a otra que ya tenía 6 años de descubierta (y solucionada), y que permitía que usuarios maliciosos pudieran falsificar el contenido de un sitio web.

A raíz del redescubrimiento de este fallo en otros navegadores que también son afectados (Mozilla y Firefox), pudimos comprobar que el Internet Explorer, incluido SP2 con todos los parches, sigue siendo vulnerable al día de hoy (junio de 2005), siete años después de la aparición de la vulnerabilidad original.

El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar en otra ventana. Un ejemplo que permite mostrar contenido arbitrario de windowsupdate.microsoft.com, ha sido publicado por Secunia.com

Este tipo de vulnerabilidad recibe el nombre de "Frame Injection", porque habilita la inyección de código no autorizado en un marco (o frame) de una página Web.

Una explotación exitosa de esta vulnerabilidad puede permitir a un sitio malicioso cargar páginas u otro código similar, que para el usuario formarían parte de un sitio confiable.

Esta vulnerabilidad es similar a otra, reparada en un parche publicado en un boletín de 1998 por Microsoft, y que afectaba al Internet Explorer 3 y 4 (MS98-020). La actual ha sido confirmada en Internet Explorer 6.0 con todas las actualizaciones al día, inclusive ejecutándose en Windows XP SP2.

Otras versiones del programa (5.5 y 5.01) también son vulnerables. Un fallo similar se produce en otros navegadores.

Esto podría ser utilizado para la falsificación de sitios verdaderos (spoofing), engañando al usuario para que ingrese datos críticos en formularios falsos.

La recomendación es no seguir enlaces sospechosos, y muchos menos aquellos existentes en mensajes de correo electrónico no solicitado.

Tampoco abrir ventanas o enlaces con sitios no confiables, mientras se navega por un sitio seguro, y jamás aceptar ingresar ninguna clase de datos, en sitios a los que se haya accedido mediante un enlace sugerido en un correo electrónico.


Más información:

Publicado originalmente en Secunia:
http://secunia.com/advisories/11978/


Referencias:

- Referencias en "Common Vulnerabilities and Exposures project" (cve.mitre.org):

CAN-2004-0718
http://www.cve.mitre.org/cgi-bin/cve...=CAN-2004-0718

CAN-2004-0719
http://www.cve.mitre.org/cgi-bin/cve...=CAN-2004-0719

- Referencias en Secunia:

Mozilla / Mozilla Firefox Frame Injection Vulnerability
SA15601 - http://secunia.com/advisories/15601/

Camino Frame Injection Vulnerability
SA15602 - http://secunia.com/advisories/15602/

Multiple Browsers Frame Injection Vulnerability
SA11978 - http://secunia.com/advisories/11978/

Internet Explorer Frame Injection Vulnerability
SA11966 - http://secunia.com/advisories/11966/

Descubierto por Mark Laurence
Ejemplos de http-equiv (malware .com)
Reportado en Mozilla por Gary McKay
Reportado en Firefox por Brainsoft

Otras referencias:
http://www.microsoft.com/technet/sec.../ms98-020.mspx

Fuente: VSA ANTIVIRUS
Compartir
  #1  
Creado: 08-Jun-2005, a las 16:13 Vistas: 413
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
explorer, frame, injection, internet, vulnerabilidad


Temas Similares
» Nueva vulnerabilidad crítica en Internet Explorer 0
» Nueva vulnerabilidad tipo día-cero en Internet Explorer 0
» Vulnerabilidad crítica en VGX.DLL (Internet Explorer) 0
» Vulnerabilidad de HHCtrl en Internet Explorer 0
» Vulnerabilidad DoS en Internet Explorer (mshtmled.dll) 0
» Internet Explorer 6: vulnerabilidad en XMLHTTP 0
» Aclaracion vulnerabilidad en MSDDS.DLL explotable a través de Internet Explorer 0
» Vulnerabilidad en Internet Explorer (archivos JPEG) 0
» Vulnerabilidad en componente Java de Internet Explorer 0
» 'Frame Injection' en múltiples navegadores 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 05:22.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4