lunes, 1 de octubre de 2007

Vulnerabilidad en IE al enviar archivos a Internet

Microsoft Internet Explorer es propenso a una vulnerabilidad que permite la revelación de información. La misma podría ser utilizada por un atacante para acceder de forma arbitraria al contenido de archivos en el equipo de la víctima.

El problema es similar a una vulnerabilidad ya corregida en Mozilla Firefox, y está relacionado con una característica de diseño que permite un incorrecto manejo de los campos de un formulario.

Un atacante puede cambiar el foco de la selección de un evento mostrado en pantalla, manipulando la función "onKeyDown" de JavaScript. Dicho evento define las acciones a realizar cuando se pulsa una tecla.

De esta manera, se pueden eludir las restricciones de seguridad en JavaScript, que permiten que cuando un usuario sube un archivo a algún sitio de Internet, el mismo pueda ser seleccionado únicamente por el propio usuario.

La vulnerabilidad permite que un cambio en el foco del campo seleccionado del formulario que es mostrado en la página web, pueda permitir a un atacante seleccionar y enviar otros archivos, sin el conocimiento de la víctima.

Para que un ataque tenga éxito, el usuario debe ser convencido a visitar un sitio web malicioso.

Ha sido publicada una prueba de concepto.

Son vulnerables todas las versiones de Internet Explorer (5.0, 5.0.1, 5.5, 6.0 y 7.0), en todos los sistemas operativos soportados, incluyendo Windows Vista.

Se recomienda no hacer clic en enlaces de correos electrónicos no solicitados, ni enviar a la red archivos utilizando formularios de sitios no confiables.

4 comentarios:

Anónimo dijo...

Hey very interesting blog!

Feel free to visit my web site - best affiliate programs

Anónimo dijo...

This is the perfect web site for anyone who really wants to understand this topic.
You realize a whole lot its almost tough to argue with you (not
that I really would want to…HaHa). You certainly put a brand new
spin on a topic which has been discussed for ages.
Wonderful stuff, just great!

Here is my blog ... leistungen krankenkassen vergleich

Anónimo dijo...

My brother suggested I may like this blog. He was entirely right.

This put up actually made my day. You cann't believe simply how so much time I had spent for this information! Thanks!

My web site :: please click for source

Anónimo dijo...

First-class article , I just deal it with my buddy of Taiwan.
I Stumble UP your web log post , you can notice an growth of
website traffic inside 24 hours for targeted individuals.

Cheers

Here is my homepage - visit the next web Page