DoS en Internet Explorer debido a URI malformado


Se ha reportado que Internet Explorer es propenso a un ataque de denegación de servicio (DoS), explotable en forma remota.





El navegador deja de responder y se cierra (luego de mostrar
un mensaje como "iexplore.exe ha detectado un problema y deber
cerrarse", etc.), si el usuario hace clic en un enlace URI del
tipo "file:/ /", creado maliciosamente.

Un URI (Uniform Resource Identifier o Identificador Universal
de Recursos), es la secuencia de caracteres que identifica
cualquier recurso (servicio, página, documento, dirección de
correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo
(http:, ftp:, mailto:, etc.), y el nombre del recurso
(//dominio, usuario @ dominio, etc.).

El fallo es provocado por un enlace "file:/ /[valor ASCII]:\",
y afecta a la biblioteca USER32.DLL.

Un atacante remoto podría crear un enlace camuflado para
provocar el fallo del explorador cuando el usuario intenta
abrir un enlace. No parecen existir otras consecuencias, más
allá del hecho que el IE deje de responder y se cierre.

Una prueba de concepto está disponible en el siguiente enlace:

http://crapware.lx.ro/junkcode/security/ie-sp1-file-a0-crash.htm


* Software afectado:

- Microsoft Internet Explorer 6.0
- Microsoft Internet Explorer 6.0 SP1 (actualizado)
- Microsoft Internet Explorer 6.0 SP2 (actualizado)

El reporte original menciona solo al 6.0 SP1, pero en
VSAntivirus hemos comprobado que el SP2 con todos los parches
al día, también es vulnerable.

Versiones anteriores no son afectadas (muestran mensaje de que
no se ha localizado el recurso correspondiente).


* Solución:

No existe parche o actualización de parte de Microsoft al
momento actual.


* Créditos:

Gregory R. Panakkal (ViPeR) <viper31337@yahoo.co.in>


* Referencias:

IE6 SP1 - Click N Crash
http://www.securityfocus.com/archive/1/390517


Fuente:
Por Redacción VSAntivirus
vsantivirus.com



Otras noticias de interés:

Cross-site scripting en Apache 1.3.x y 2.2.x
Se ha encontrado una vulnerabilidad en Apache que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting. ...
Dinamarca y Noruega se suman contra el OOXML
Estos países han votado NO a la propuesta de aceptar el formato de Microsoft Open Office XML como estándar ISO, aunque en todos los casos se ofrece la posibilidad de que ese voto cambie en el futuro si se resuelven los problemas técnicos y prácti...
Sanciones, plazos y soluciones por hacer trampas en SEO
Cada vez hay más consciencia de que el SEO es imprescindible para el éxito de una empresa que quiera tener presencia en la red. Esta exigencia ha llevado a muchos a llevar a cabo técnicas prohibidas o técnicas Black Hat. ¿Qué pasa si una web es...
Sun integra Linux en sus servidores
lINUX HA GANADO OTRA VEZ - Enmarcado dentro de la estrategia de Sun, acaba de lanzar un servidor con software y aplicaciones preintegradas y optimizadas como Sun ONE, Linux, tecnología Java o el entorno operativo Solaris....
Primer parche para Firefox 3.5
Mozilla ha anunciado el primer parche para su recién lanzado Firefox 3.5. Un parche que llegará en las próximas semanas para solucionar diversos agujeros de seguridad que no estaban resueltos en la versión final del navegador....
Cifrado óptico para conexiones de 100 GBps
Un grupo de investigadores han creado un componente para redes ópticas que señalan que puede aplicar cifrado a las conexiones de este tipo para lograr protegerlas incluso cuando esos datos viajan a velocidades de 100 Gbytes por segundo....
Internet llega a 100 millones de sitios web
La red de redes batió un nuevo record en octubre al alcanzar los 100 millones de sitios web con contenidos y dominio propio. Así lo ha constatado Netcraft, una compañía británica que lleva monitorizando el crecimiento de Internet desde 1995. Est...
Goobuntu se integrará con Ubuntu
El equipo de desarrollo de Goobuntu anunció que después del lanzamiento de su versión 8.04 el proyecto apuntará a integrar muchos de sus cambios dentro de la versión principal de Ubuntu. Así, próximamente Ubuntu incluirá la opción de Sólo ...
Mozilla: No nos hemos olvidado de Firefox 3 para Linux
La primera beta de Firefox 3 ha provocado cierto revuelo entre la comunidad de linuxeros, ya que esa primera versión no incluía prácticamente cambios en la interfaz de usuario. Mozilla ya ha explicado sus razones, y ha prometido muchos cambios en ...
#TuxInfo 42 disponible
Esta disponible para su descarga una nueva edición de una excelente revista digital, en esta oportunidad el N° 42....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • debido
  • dos
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malformado
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • uri
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra