Error de filtrado de scripts en múltiples navegadores
Fuente: http://www.vsantivirus.com/vul-scripts-070606.htm
Por Angela Ruiz
[email protected]
Debido a un error de diseño, múltiples navegadores son propensos a una vulnerabilidad causada por un débil filtrado de código JavaScript que se produce cuando un usuario ingresa datos desde el teclado.
Este problema puede ser utilizado por un atacante para desviar el ingreso de datos de la víctima en un determinado cuadro de diálogo, a otro oculto en la misma página. Esto podría ser explotado por ejemplo, para el envío de un archivo al atacante sin el conocimiento del usuario. Otras formas de ataque también podrían ser posibles.
Fuente: http://www.vsantivirus.com/vul-scripts-070606.htm
La explotación exitosa de este fallo, requiere que el usuario ingrese manualmente el nombre y camino completo del archivo que el atacante desea descargar. Esto requiere bastante ingeniería social para obligar al usuario a ingresar tal información.
Se ha reportado que Mozilla Suite, Mozilla Firefox, Mozilla SeaMonkey, Netscape Navigator, y Microsoft Internet Explorer son vulnerables.
Pruebas de concepto para estos navegadores, están disponibles en los siguientes enlaces:
Internet Explorer
http://www.securityfocus.com/data/vulnerabilities/exploits/18308-ie.html
Mozilla (Firefox, etc.)
http://www.securityfocus.com/data/vulnerabilities/exploits/18308-mozilla.html
Continua en: http://www.vsantivirus.com/vul-scripts-070606.htm
Por Angela Ruiz
[email protected]
Debido a un error de diseño, múltiples navegadores son propensos a una vulnerabilidad causada por un débil filtrado de código JavaScript que se produce cuando un usuario ingresa datos desde el teclado.
Este problema puede ser utilizado por un atacante para desviar el ingreso de datos de la víctima en un determinado cuadro de diálogo, a otro oculto en la misma página. Esto podría ser explotado por ejemplo, para el envío de un archivo al atacante sin el conocimiento del usuario. Otras formas de ataque también podrían ser posibles.
Fuente: http://www.vsantivirus.com/vul-scripts-070606.htm
La explotación exitosa de este fallo, requiere que el usuario ingrese manualmente el nombre y camino completo del archivo que el atacante desea descargar. Esto requiere bastante ingeniería social para obligar al usuario a ingresar tal información.
Se ha reportado que Mozilla Suite, Mozilla Firefox, Mozilla SeaMonkey, Netscape Navigator, y Microsoft Internet Explorer son vulnerables.
Pruebas de concepto para estos navegadores, están disponibles en los siguientes enlaces:
Internet Explorer
http://www.securityfocus.com/data/vulnerabilities/exploits/18308-ie.html
Mozilla (Firefox, etc.)
http://www.securityfocus.com/data/vulnerabilities/exploits/18308-mozilla.html
Continua en: http://www.vsantivirus.com/vul-scripts-070606.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!