Ocultamiento de scripts en Internet Explorer


Se ha reportado una vulnerabilidad en Microsoft Internet Explorer, que permite a un usuario remoto ocultar código script contenido en una página web.





El problema se produce porque el IE no procesa correctamente
ciertos códigos en javascript. Un usuario remoto puede crear
un archivo HTML modificado maliciosamente para que cuando la
página sea cargada por el usuario, éste no pueda ver ese
código si invoca la opción "Ver" -> "Código fuente".

En lugar de mostrar el código HTML original con el script
involucrado, el Internet Explorer muestra el resultado de la
ejecución del código javascript.

El siguiente ejemplo ha sido publicado en Internet:

<script type="text/jscript">
function init() {
document.write("The time is: " + Date() );

}
window.onload = init;
</script>

Una prueba de concepto está disponible en el siguiente enlace:

[Nota: el enlace aparece truncado por superar la cantidad de
caracteres permitidos en el formato de este boletín. El mismo
se debe cortar y pegar todo en una sola línea]

http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6/exploit_javascript_ie_6_bug.htm

Si el equipo es vulnerable, se verá en pantalla el resultado
del script:

"The time is now: [día, mes, fecha, hora y año actual]"

Y lo mismo deberá ser visto en "Ver", "Código fuente", o botón
derecho, "Ver código fuente", cuando en realidad el código,
que es el ejemplo mostrado antes, no será visualizado.


* Productos vulnerables:

- Microsoft Internet Explorer 6.0 SP2 y anteriores


* Solución:

No existe una solución al momento de la publicación de esta
alerta. Según el autor, Microsoft fue avisado el 7 de junio de
2005.

* Créditos:

Pascal Vyncke <development[ @ ]seniorennet.be>


* Referencias:

Microsoft Internet Explorer
Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174
http://securitytracker.com/id?1014174

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

Publicado el primer borrador de la licencia GPL v3.0
El primer borrador público de la versión 3 de la licencia GPL acaba de ser publicado, junto con una explicación de las razones de los cambios introducidos. Las primeras reacciones, a pesar de la anticipada polémica...
Fundación Mozilla recibe una importante donación de código fuente: ActionScript
El estándar ECMAScript es usado por lenguajes como JavaScript, ActionScript de Adobe (recientemente donado a la Fundación Mozilla) y Jscript de Microsoft. En este sentido, Jan van den Beld, Secretario General de Ecma International piensa que no ha...
Acelere su Windows XP
Según se pronostica, el paso hacia Windows XP (Lo Peor de Windows) será tarde o temprano una necesidad para todos. El nuevo sistema operativo de Microsoft está siendo incluido en prácticamente todas las computadoras nuevas. Además, XP resuelve c...
Cambio de Huso horario en Venezuela
A partir del día de hoy (09-12-2007) a las 3:00 a.m. comenzará a regir el nuevo huso horario, donde se deberá atrasar 30 min todos los relojes en el territorio nacional....
La seguridad por oscuridad nunca es recomendada.
Los creadores de malware muchas veces utilizan javascript para infectar nuestras máquinas, y aplican técnicas de ofuscación para tratar de no ser detectados y evitar o dificultar el análisis....
Nueva técnica de "phishing" afecta a Internet Explorer
Descubierta una vulnerabilidad XSS en el control ActiveX DHTML Edit de Internet Explorer que puede ser especialmente aprovechada en ataques de tipo phishing. A efectos prácticos, por ejemplo, un atacante podría simular una página web segura de u...
CiberGuerra entre israelíes y saudíes
Ataque informático contra las bolsas de Riad y Abu Dabi | Jóvenes israelíes responden al asalto a bancos de datos del ejército y la central nuclear de Dimona....
Microsoft publicará 6 boletines de seguridad este martes
Microsoft ha publicado un avance de los boletines de seguridad que publicará este martes. Serán un total de seis boletines que solucionarán 13 vulnerabilidades. Es la primera vez que se publicarán parches oficiales para Windows 8 y Server 2012 de...
Redes sociales y la violación al derecho a la intimidad
La exposición a la vida privada en redes sociales es preocupante, y las consecuencias que ello trae abren un debate sobre el derecho a la intimidad y la libertad de expresión....
Microsoft nuevas vulnerabilidades "críticas" en el "Internet Explorer
Microsoft descubre nuevas vulnerabilidades críticas en el Internet Explorer y Outlook Express Microsoft ha publicado dos revisiones de seguridad para solventar varias vulnerabilidades de carácter crítico descubiertas en las ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • ocultamiento
  • opensource
  • pgp
  • php
  • sabayon
  • scripts
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra