Vulnerabilidad en Internet Explorer al imprimir páginas


El investigador Aviv Raff ha descubierto un nuevo agujero de seguridad en Internet Explorer que permitiría a un atacante ejecutar programas arbitrarios, aunque la intervención del usuario es necesaria.





La vulnerabilidad es del tipo cross-zone scripting y afecta a la opción ''Imprimir tabla de vínculos'', una característica del navegador que añade en una impresión de página un apéndice con una tabla que contiene todos los enlaces publicados. La función por defecto está desactivada y se encuentra en la pestaña ''Opciones'' de la ventana de diálogo ''Imprimir''. Cuando imprimimos una página el navegador utiliza un recurso local que genera nuevo archivo HTML a imprimir, este se ejecuta desde la zona local dejando una puerta abierta para los atacantes. Debido a que los enlaces del nuevo archivo se incluyen sin ningún tipo de filtrado, se podría crear un enlace con un script malicioso y publicarlo en cualquier sitio web (blog, red social, foro, etc), cada vez que un usuario imprima la página con la función tabla de vínculos habilitada, el atacante será capaz de ejecutar códigos arbitrarios en su equipo, es decir tomar el control del sistema.

Según Raff el problema afecta a Internet Explorer 7 y 8 beta en Windows XP totalmente actualizado, Windows Vista con UAC habilitado se ve parcialmente afectado permitiendo a los atacantes espiar el equipo de la víctima, además las versiones anteriores del navegador también podrían verse afectadas.

Microsoft ya está al tanto de la situación y buscando una solución, mientras tanto se recomienda evitar utilizar la característica ''Imprimir tabla de vínculos'' cuando se imprima una página web con Internet Explorer.

Enlaces:
Aviv Raff

vulnerabilidad es del tipo cross-zone scripting

Fuente:
http://www.rompecadenas.com.ar



Otras noticias de interés:

Gusano que se extiende a través de Yahoo! Messenger
El malware se esconde detrás de un mensaje que simula ser una fotografía de un amigo y que, además de reenviarse a los contactos de Yahoo Instant Messenger, puede cambiar las claves de registro....
Apple publica un parche de seguridad que soluciona 45 vulnerabilidades
Apple ha publicado un superparche de seguridad que corrige hasta 45 errores distintos en su sistema operativo Mac OS X. Muchos de ellos, dados a conocer durante el mes de los fallos en Apple que tuvo lugar el pasado mes de enero. ...
Dos vulnerabilidades en Internet Explorer
Secunia reporta el descubrimiento de dos vulnerabilidades en Internet Explorer de Microsoft, que podrían ser explotadas por personas maliciosas para eludir las características de seguridad del SP2 de Windows XP, y de ese modo engañar al usuario ...
Nuevos Mirrors de la Distribución GNU/Linux TumiX
Gnu/Linux tumiX Ya esta disponible tres nuevos sitios donde descargar GNU/Linux Tumix, la distribución Peruana. En esta oportunidad Opensourcespot y la Universidad Pontificia Católica del Perú, han ofrecido sus servidores para difundir TumiX, adem...
Mirando las cartas del poker con troyanos
Los bancos fueron los primeros objetivos en el uso de troyanos, pero desde hace ya algún tiempo no son los únicos. Hay un montón de otros servicios en Internet que pueden generar dinero, así que no es raro que la gente utilice los troyanos hasta ...
Podcast de Eset Latinoamérica referente a BlackHat SEO
Federico Pacheco, habla de que trata este tipo de artilugio que día a día usan diferentes personas maliciosas para posicionar ciertos sitios web en las primeras posiciones en los buscadores, usualmente para distribuir malware....
Vulnerabilidades en el Kernel de Windows
Dentro del conjunto de boletines de abril publicado por Microsoft y del que ya efectuamos un adelanto esta semana, se cuenta el anuncio (en el boletín MS05-018) de la existencia de cuatro vulnerabilidades en el núcleo (kernel) de diversos sistemas ...
Firefox: Parche en fallo crítico
Esta es la tercera vez que Mozilla tiene que actualizar un navegador recién lanzado por un problema de seguridad....
Bájate El Nuevo MSN Messenger 5.
El sitio web FileConnect ha puesto a disposición de sus lectores la versión 5 del popular programa de mensajería de Microsoft....
OPENOFFICE.ORG: CUMPLE SU 4º AÑO
OpenOffice.org celebra su cuarto cumpleaños enfocándose al futuro. OpenOffice.org es el proyecto de código abierto más importante del mundo. Estas palabras, pronunciadas por el fundador de GNOME y Novell Ximian CTO, Miguel de Icaza, en el primer ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • imprimir
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • paginas
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra