Vulnerabilidad en IE al usar cualquier objeto COM
Por Redacción VSAntivirus
[email protected]
Según una alerta publicada por el US-CERT, Microsoft Internet
Explorer (IE), puede intentar utilizar objetos COM que no
están destinados para ser empleados en el navegador. Esto
puede provocar una variedad de comportamientos no deseados en
el sistema, tales como que el IE deje de responder.
Microsoft COM (Modelo de Objetos Componentes), es una
tecnología que permite a los programadores, crear elementos
reutilizables que pueden ser incorporados a diferentes
aplicaciones para extender su funcionalidad. Esto incluye
COM+, Distributed COM (DCOM), y controles ActiveX.
Los controles ActiveX son diseñados tradicionalmente para ser
utilizados en el Internet Explorer. Una página Web puede
hacer uso de un control ActiveX de diversas maneras, por
ejemplo haciendo referencia a él por su identificador de
clase (CLSID) en una etiqueta HTML (cada componente COM tiene
su CLSID en el registro de Windows).
El problema se produce porque Internet Explorer admite
cualquier objeto COM referenciado en un documento HTML, sin
importar si el mismo ha sido diseñado o no para ser utilizado
en el navegador.
La "instanciación" de ciertos objetos COM (término aplicado
en programación a la creación de un objeto a partir de una
clase específica), puede causar que IE falle. Otros objetos
COM podrían provocar efectos inesperados.
La cantidad de objetos COM vulnerables presentes en el
sistema, depende del software instalado, ya que probablemente
éste agregue más objetos COM vulnerables a los que de por sí
incorpora el propio Windows.
Si un atacante convence a un usuario para visualizar una
página Web o un correo electrónico con formato HTML creados
maliciosamente, podría llegar a ejecutar código arbitrario
con los mismos privilegios del usuario que inició la sesión
actual.
El atacante también podría hacer que Internet Explorer u otro
programa utilizado para ver el código anterior, se bloquee.
Una de las formas de minimizar este riesgo, es instalar
Internet Explorer 7, ya que el mismo agrega la opción
"ActiveX Opt-In". Se trata de una protección contra aquellos
controles ActiveX no autorizados, que deshabilita
automáticamente todos los controles que el usuario no ha
habilitado previamente, solicitándosele una confirmación a
través de la barra de información antes de tener acceso a los
mismos ("Instalar control ActiveX...").
Tenga en cuenta que utilizar otro navegador, no elimina IE de
un sistema Windows, y otros programas pueden invocar al
Internet Explorer, o a otros componentes de Windows
involucrados, tales como el WebBrowser ActiveX control
(WebOC), o el motor HTML (MSHTML).
No aceptar enlaces no solicitados y configurar el correo
electrónico para visualizarlo solo en modo texto, también
ayuda a proteger el sistema (en el Outlook Express y en
Windows Mail, esto se encuentra en Herramientas, Opciones,
Leer, seleccionando "Leer todos los mensajes como texto sin
formato").
* Relacionados:
Vulnerability Note VU#680526
Microsoft Internet Explorer can use any COM object
http://www.kb.cert.org/vuls/id/680526
* Créditos:
Shane Hird
Fuente: http://www.vsantivirus.com/vul-ie-com-uscert680526.htm
[email protected]
Según una alerta publicada por el US-CERT, Microsoft Internet
Explorer (IE), puede intentar utilizar objetos COM que no
están destinados para ser empleados en el navegador. Esto
puede provocar una variedad de comportamientos no deseados en
el sistema, tales como que el IE deje de responder.
Microsoft COM (Modelo de Objetos Componentes), es una
tecnología que permite a los programadores, crear elementos
reutilizables que pueden ser incorporados a diferentes
aplicaciones para extender su funcionalidad. Esto incluye
COM+, Distributed COM (DCOM), y controles ActiveX.
Los controles ActiveX son diseñados tradicionalmente para ser
utilizados en el Internet Explorer. Una página Web puede
hacer uso de un control ActiveX de diversas maneras, por
ejemplo haciendo referencia a él por su identificador de
clase (CLSID) en una etiqueta HTML (cada componente COM tiene
su CLSID en el registro de Windows).
El problema se produce porque Internet Explorer admite
cualquier objeto COM referenciado en un documento HTML, sin
importar si el mismo ha sido diseñado o no para ser utilizado
en el navegador.
La "instanciación" de ciertos objetos COM (término aplicado
en programación a la creación de un objeto a partir de una
clase específica), puede causar que IE falle. Otros objetos
COM podrían provocar efectos inesperados.
La cantidad de objetos COM vulnerables presentes en el
sistema, depende del software instalado, ya que probablemente
éste agregue más objetos COM vulnerables a los que de por sí
incorpora el propio Windows.
Si un atacante convence a un usuario para visualizar una
página Web o un correo electrónico con formato HTML creados
maliciosamente, podría llegar a ejecutar código arbitrario
con los mismos privilegios del usuario que inició la sesión
actual.
El atacante también podría hacer que Internet Explorer u otro
programa utilizado para ver el código anterior, se bloquee.
Una de las formas de minimizar este riesgo, es instalar
Internet Explorer 7, ya que el mismo agrega la opción
"ActiveX Opt-In". Se trata de una protección contra aquellos
controles ActiveX no autorizados, que deshabilita
automáticamente todos los controles que el usuario no ha
habilitado previamente, solicitándosele una confirmación a
través de la barra de información antes de tener acceso a los
mismos ("Instalar control ActiveX...").
Tenga en cuenta que utilizar otro navegador, no elimina IE de
un sistema Windows, y otros programas pueden invocar al
Internet Explorer, o a otros componentes de Windows
involucrados, tales como el WebBrowser ActiveX control
(WebOC), o el motor HTML (MSHTML).
No aceptar enlaces no solicitados y configurar el correo
electrónico para visualizarlo solo en modo texto, también
ayuda a proteger el sistema (en el Outlook Express y en
Windows Mail, esto se encuentra en Herramientas, Opciones,
Leer, seleccionando "Leer todos los mensajes como texto sin
formato").
* Relacionados:
Vulnerability Note VU#680526
Microsoft Internet Explorer can use any COM object
http://www.kb.cert.org/vuls/id/680526
* Créditos:
Shane Hird
Fuente: http://www.vsantivirus.com/vul-ie-com-uscert680526.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!