Escalada de directorios en descargas FTP con Internet Explorer


Se ha anunciado la existencia de una vulnerabilidad en Internet Explorer por la que un atacante puede llegar a comprometer el sistema de un usuario.





El problema reside en un error de validación de entradas en el tratamiento de transferencias de archivos por FTP. Esto puede ser explotado por un servidor FTP malicioso para crear archivos en localizaciones arbitrarias del sistema del usuario a través de ataques de escalada de directorios, induciendo al usuario a descargar un archivo malicioso.

Cuando se descarga un archivo existen tres formas de indicar dicha acción, sin embargo sólo dos se ven afectados por este fallo: con "botón-derecho" y "salvar-como" o arrastrando el fichero a la localización deseada. Si la descarga se inicia con un doble-click no se ve afectada por la vulnerabilidad.

La vulnerabilidad ha sido confirmada en sistemas totalmente parcheados con Internet Explorer 6.0 y Microsoft Windows 2000 SP4 / XP SP1, sin embargo no afecta en los sistemas Windows XP con SP2.

Más información:

7a69Adv#17 - Ineternet Explorer FTP download path disclosure
http://www.7a69ezine.org/node/view/176

Fuente:
Antonio Ropero
hispasec.com



Otras noticias de interés:

Historia de los virus en GNU/Linux
Dadas las estrictas medidas de seguridad integrado en Linux, es difícil de tomar ventaja de una vulnerabilidad en el equipo, pero algunos programadores han encontrado formas de evadir las medidas de seguridad. Hay varias opciones gratuitas de anti-v...
Los hackers son necesarios para el futuro de Internet
A muchas personas, cuando escuchan la palabra Hacker, lo primero que les viene a la mente es la imagen de un joven desaliñado y nervioso; encerrado en su habitación, frente a su computador; digitando ansioso y con placer enfermizo, códigos y scrip...
Expertos piden que no se dé publicidad a las acciones de los hackers
Después de la atención que obtuvo un concurso de hacking la pasada semana por parte de la opinión pública internacional, expertos en seguridad informática piden expresamente que se ignoren este tipo de acciones. ...
Múltiples vulnerabilidades en Adobe Flash Player 8.x y 9.x
Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable. ...
Los internautas consideran Internet un derecho fundamental
Cuatro de cada cinco personas consideran que Internet es un derecho fundamental. Por lo menos eso es lo que asegura un informe realizado por la BBC World Service, en el que han participado 26 países del mundo, y que además deja pantente que el sent...
Por qué confiamos más en las redes sociales?
Cómo influye un comentario en un blog o en Facebook a las nuevas relaciones entre el consumidor y la empresa.-...
Ubuntu 8.04, Release Candidate disponible
Lista para descarga la RC de Hardy Heron, el nuevo desarrollo de la distribución GNU/Linux de Canonical, cuya versión final está programada para el 24 de abril. ...
Día Mundial del Software Libre
El 10 de Septiembre ha sido declarado Día Mundial del Software Libre, con la idea de concientizar y orientar al público en general sobre las bondades y virtudes de esta herramienta alternativa. En Venezuela, los di...
Idea contra el espionaje
Mucho se ha hablado sobre el espionaje (léase retención de comunicaciones, para no ser tan alarmistas) al que los gobiernos pueden someter a los ciudadanos....
De redes y estafas
Dos nuevos casos de falsificación (fake o hoax, en la jerga de Internet) han vuelto a traer al primer plano de la actualidad la potencialidad del medio digital para llevar a cabo acciones de esta índole con una capacidad de difusión y credibilidad...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • descargas
  • directorios
  • escalada
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • ftp
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra