Diversas vulnerabilidades en Microsoft Internet Explorer 7.x


Se han encontrado múltiples vulnerabilidades en Microsoft Internet Explorer 7 que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting o saltarse ciertas restricciones de seguridad por medio de ataques HTTP Request Smuggling.





La técnica del HRS (HTTP Request Smuggling) fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos http (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.

El problema está causado porque es posible modificar ciertas cabeceras por medio de la función "setRequestHeader()", lo que podría ser aprovechado para inyectar peticiones HTTP arbitrarias configurando la cabecera Transfer-Encoding como "chunked" o para sobrescribir ciertas cabeceras, como "Content-Length", "Host" y "Referer".

Las vulnerabilidades están confirmadas para la versión 7.0.5730.11 y otras versiones podrían verse afectadas también. Como siempre y como norma habitual, se recomienda no navegar por sitios web no confiables.

Más información:

Microsoft Internet Explorer "Transfer-Encoding: chunked" allows Request Splitting/Smuggling
http://www.mindedsecurity.com/MSA01240108.html

Microsoft Internet Explorer allows overwriting of several headers leading to Http request Splitting and smuggling
http://www.mindedsecurity.com/MSA02240108.html

Fuente:
Laboratorio Hispasec
http://www.hispasec.com



Otras noticias de interés:

Intel lanza Pentium 4 de 3 Gigahertzios
La compañía estadounidense Intel lanzará a partir del jueves su procesador Pentium 4 de 3 Gigahertzios, rompiendo nuevamente la simbólica barrera de la velocidad en computadores. ...
Hackers chinos sabotean las señales por satélite de la televisión para difundir mensajes contra el gobierno
Señales por satélite de la televisión china han sido supuestamente saboteadas por 'hackers' para la difusión de mensajes en contra del Gobierno. Según el periódico de Shangai XinMin Evening News, que cita informaciones de la web Sohu.com, el pa...
Nuevos Plugins de seguridad para Wordpress
Últimamente, prácticamente todas las versiones de Wordpress han sufrido algún problema de seguridad que obligaba a actualizar rápidamente. Al menos, ahora ya hay avisos desde la pantalla principal del Dashboard que permite saber cuando hay nuevas...
Mil dólares al primero que logre hackear Google TV
Howard Harte es un desarrollador que ha ofrecido 1.000 dólares para la primera persona que logre romper la seguridad de Google TV....
Hacia un mundo sin contraseñas de inicio
Investigadores de la Universidad de Alabama, en Birmingham, están trabajando para lograr un acceso seguro y fácil para los usuarios sin usar contraseñas, informa el portal científico PhysOrg. ...
10 claves para una adecuada recuperación ante desastres
En la gestión de la seguridad hay un capítulo de especial importancia. Este capítulo es el que habla de recuperación ante desastres, un concepto que tiene que ir asociado de una manera biyectiva a otro concepto de igual interés en el gobierno...
Software capaz de descubrir el origen de un virus
Un grupo de estudiantes de la EPFL, la Escuela Politécnica Federal de Lausana, esa universidad Suiza muy popular en Europa para las carreras técnicas, ha logrado crear un software que puede descubrir el origen de cualquier tipo de información, tam...
Google:Android es el sueño de Linux
No cabe duda que Android ha tenido mucho éxito en el mercado de los dispositivos móviles, posicionándose rápidamente a la cabeza entre los sistemas operativos de smartphones. ...
Charla en Universidad de Washington de Neil deGrasse Tyson
Saliéndonos un poco del mundo de la Informática, quisimos compartir con ustedes un vídeo del conocido y famoso astrofísico Neil deGrasse Tyson, dictada en la Universidad de Washington EEUU....
Alerta: La información privada contenida en el móvil puede ser "recuperada" por otras personas
Quienes quieran deshacerse de su móvil (Celular), ya sea vendiéndolo, donándolo o reciclándolo, deberían estar alertas a la información que pudiera contener su memoria, según advierte la agencia AP. Esa información, casi siempre privada y sen...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • diversas
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra