Diversas vulnerabilidades en Microsoft Internet Explorer 7.x


Se han encontrado múltiples vulnerabilidades en Microsoft Internet Explorer 7 que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting o saltarse ciertas restricciones de seguridad por medio de ataques HTTP Request Smuggling.





La técnica del HRS (HTTP Request Smuggling) fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos http (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.

El problema está causado porque es posible modificar ciertas cabeceras por medio de la función "setRequestHeader()", lo que podría ser aprovechado para inyectar peticiones HTTP arbitrarias configurando la cabecera Transfer-Encoding como "chunked" o para sobrescribir ciertas cabeceras, como "Content-Length", "Host" y "Referer".

Las vulnerabilidades están confirmadas para la versión 7.0.5730.11 y otras versiones podrían verse afectadas también. Como siempre y como norma habitual, se recomienda no navegar por sitios web no confiables.

Más información:

Microsoft Internet Explorer "Transfer-Encoding: chunked" allows Request Splitting/Smuggling
http://www.mindedsecurity.com/MSA01240108.html

Microsoft Internet Explorer allows overwriting of several headers leading to Http request Splitting and smuggling
http://www.mindedsecurity.com/MSA02240108.html

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Una goma de borrar digital para eliminar contenidos de la web
El sistema es desarrollado por un grupo de informáticos alemanes y estará disponible, en principio, para los usuarios de Firefox. La novedad, publicada por la agencia de noticias DPA, pareció responder al pedido del ministro del Interior alemán, ...
Nueva falsificación de URL en IE, OE y Outlook
Nueva falsificación de URL en barra de estado de Internet Explorer, Outlook y Outlook Express. Se ha descubierto un fallo en Microsoft Internet Explorer, Outlook y Outlook Express que permite a personas maliciosas alterar la URL desplegada...
Linux se hace un hueco en el escritorio
Linux ha sido definido como “el hermano pobre de Windows” y “el sistema operativo para técnicos”. Pero pese a ello, el sistema operativo del pingüino está ganando poco a poco y sin hacer ruido su lugar en el escritorio. ...
Actualización Debian 5.0.4
Nueva versión estable de uno de los sistemas operativos más populares basado en el kernel de Linux y herramientas GNU....
Denegación de servicio a través de la función ( php_dechunk ) en PHP 5.3.x
Stefan Esser, conocido investigador de seguridad especializado en vulnerabilidades en el lenguaje de programación PHP, ha descubierto un fallo en la última versión publicada....
SecureTwitter, antivirus para Twitter
Finjan ha lanzado el plug-in para navegadores SecureTwitter, que protege a los PC del malware que pueda descargarse de las direcciones URL acortadas. SecureTwitter forma parte de la suite de productos gratuita SecureBrowsing destinada tanto a empresa...
Cómo instalar paso a paso Ubuntu Linux
La instalación es sencilla, y solo me tomó aproximadamente media hora. Anímese, véngase al mundo libre!!!...
Conectarse a cualquier wifi es dejar las llaves a un desconocido
Hay equipos de ladrones profesionales dedicados a robar información o dinero a usuarios y empresas», afirma el experto informático. El mundo digital ha abierto puertas que antes no existían; el mal está a golpe de una tecla....
¿Que porcentaje de ancho de banda mundial consumen las redes de pares ?.
Fue publicado un estudio que revela el impacto que las redes de intercambio de archivos tienen sobre el tráfico mundial de Internte. Impresionante....
OpenOffice.org 3.1 final listo para la descarga
La gran mayoría de las mejoras de esta interesante y excelente suite ofimatica estan en el apartado gráfico y el manejo de fuentes e imágenes, así como la solución de algunos bugs....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • diversas
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra