Vulnerabilidad en Internet Explorer al imprimir páginas


El investigador Aviv Raff ha descubierto un nuevo agujero de seguridad en Internet Explorer que permitiría a un atacante ejecutar programas arbitrarios, aunque la intervención del usuario es necesaria.





La vulnerabilidad es del tipo cross-zone scripting y afecta a la opción ''Imprimir tabla de vínculos'', una característica del navegador que añade en una impresión de página un apéndice con una tabla que contiene todos los enlaces publicados. La función por defecto está desactivada y se encuentra en la pestaña ''Opciones'' de la ventana de diálogo ''Imprimir''. Cuando imprimimos una página el navegador utiliza un recurso local que genera nuevo archivo HTML a imprimir, este se ejecuta desde la zona local dejando una puerta abierta para los atacantes. Debido a que los enlaces del nuevo archivo se incluyen sin ningún tipo de filtrado, se podría crear un enlace con un script malicioso y publicarlo en cualquier sitio web (blog, red social, foro, etc), cada vez que un usuario imprima la página con la función tabla de vínculos habilitada, el atacante será capaz de ejecutar códigos arbitrarios en su equipo, es decir tomar el control del sistema.

Según Raff el problema afecta a Internet Explorer 7 y 8 beta en Windows XP totalmente actualizado, Windows Vista con UAC habilitado se ve parcialmente afectado permitiendo a los atacantes espiar el equipo de la víctima, además las versiones anteriores del navegador también podrían verse afectadas.

Microsoft ya está al tanto de la situación y buscando una solución, mientras tanto se recomienda evitar utilizar la característica ''Imprimir tabla de vínculos'' cuando se imprima una página web con Internet Explorer.

Enlaces:
Aviv Raff

vulnerabilidad es del tipo cross-zone scripting

Fuente:
http://www.rompecadenas.com.ar



Otras noticias de interés:

PatentGate, un año después: Microsoft contra el mundo open-source
Cuando se cumple un años desde que Microsoft anunciara que el open-source violaba 235 de sus patentes de software , desde ComputerWorld se preguntan si la compañía ha avanzado en sus reclamaciones legales sobre el particular....
La amenaza de los insiders ha sido exagerada, según un nuevo estudio
Los insiders –usuarios TI internos a la organización- no son, como muchos han asegurado, la principal amenaza para las redes empresariales, de acuerdo con las conclusiones de un nuevo análisis sobre las brechas de datos realizado por Verizon....
Graves vulnerabilidades en Safari 5
Se han publicado dos vulnerabilidades que afectan al navegador Safari 5 de Apple y que podrían permitir a un atacante remoto realizar un ataque de suplantación (spoofing) y ejecutar código arbitrario....
LinkedIn posible vulnerabilidades de seguridad
Días después de la exitosa salida a Bolsa de LinkedIn, un investigador de seguridad asegura que la compañía tiene vulnerabilidades que permitirían a un atacantes acceder a las cuentas de los usuarios....
Reportado nuevo ataque Zero-day a Microsoft Office
Microsoft ha publicado una alerta relacionado con un reporte de ataques del tipo Zero-day, que utilizan una nueva vulnerabilidad en Microsoft Office 2000, Microsoft Office XP, Microsoft Office 2003, y Microsoft Office 2004 para Mac....
Feliz año nuevo 2006
El Team Xombra les desea a todos y cada uno de ustedes un muy Feliz Año nuevo, espero que todos sus deseos y anhelos se cumplan, que la tranquilidad y la prosperidad reinen en todos....
Construir un Electrocardiograma con tu PC
Utilizando tu computador IBM o compatible, algunos conponentes electronicos, y un software realizado en Visual Basic, podemos realizar nuestro electrocardiograma....
Apple confirma un error en la actualización de Leopard
Apple ha confirmado la existencia de un error que impide a algunos usuarios actualizar sus máquinas Leopard Mac OS X utilizando el mecanismo automatizado de actualización de software integrado en el sistema...
Microsoft alerta de falla en Windows que lo hace vulnerable a ataques
Microsoft anunció el martes que una falla en la mayoría de las versiones de su sistema operativo Windows podría permitir que los atacantes ejecuten programas maliciosos en computadoras personales. ...
Linux Kernel 2.5.22
Nuevamente Linus Torvalds ha lanzado una nueva versión del kernel de Linux, en esta ocasión se trata de la 2.5.22. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • imprimir
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • paginas
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra