Microsoft investiga una posible falla en Internet Explorer que permite XSS
La semana pasada, se dió a conocer una falla de seguridad en Internet Explorer 8 en la lista de correo Full Disclosure. La falla permite a los atacantes robar información privada de los servicios en línea tales como correo web y Twitter, permitiendo a los atacantes, por ejemplo, eliminar e-mails o enviar tweets desde las cuentas de sus víctimas.
El post fue realizado por Chris Evans, empleado de Google y el motivo del mismo es tratar de persuadir a Microsoft para solucionar la vulnerabilidad, que es una nueva variante de un ataque anterior que hizo público un grupo de estudiantes de Carnegie Mellon en diciembre pasado.
Mientras que los otros navegadores ya han sido corregidos para prevenir el ataque, Internet Explorer aún permanece sin proporcionar protección.
El ataque compromete la política same-origin diseñada para evitar que secuencias de comandos de un dominio accedan a los datos que pertenecen a otro dominio. Por ejemplo, un script de example.org no debería tener acceso a las cookies o contenido de la página de twitter.com. Estos ataques, en un sitio (controlado por el atacante) comprometen los datos sensibles de otro sitio y se denominan Cross Site Scripting (XSS).
Este ataque en especial es un enfoque diferente para incrustar hojas de estilo (CSS), que se utilizan para controlar las fuentes, colores y diseño de las páginas HTML. CSS es particularmente interesante para este tipo de ataques debido a la forma en que es interpretado por el navegador. El manejo tolerante a fallos de los archivos CSS es lo que conduce a la vulnerabilidad.
Por ejemplo, este Tweet (deliberadamente construido), cuando se utiliza como un archivo CSS, el navegador interpretará la página como si lo fuera, pero permite embeber en los Tweets contenido dañino.
Internet Explorer 9 Beta también es vulnerable y las versiones anteriores del navegador también podrían verse afectados.
Microsoft ha respondido que está investigando la falla, pero todavía no hay actualización disponible y ya es posible ver la PoC.
Esta no es la primera vez que un empleado de Google divulga un fallo de seguridad de Microsoft. Tavis Ormandy recibió tanto críticas como apoyo a su decisión de hacer público un fallo en junio pasado. Esta situación es un poco diferente, ya que el fallo se hizo público gracias al documento de Carnegie Mellon y las revisiones realizadas por los otros fabricantes.
Fuente: Arstechnica
Cristian de la Redacción de Segu-Info
El post fue realizado por Chris Evans, empleado de Google y el motivo del mismo es tratar de persuadir a Microsoft para solucionar la vulnerabilidad, que es una nueva variante de un ataque anterior que hizo público un grupo de estudiantes de Carnegie Mellon en diciembre pasado.
Mientras que los otros navegadores ya han sido corregidos para prevenir el ataque, Internet Explorer aún permanece sin proporcionar protección.
El ataque compromete la política same-origin diseñada para evitar que secuencias de comandos de un dominio accedan a los datos que pertenecen a otro dominio. Por ejemplo, un script de example.org no debería tener acceso a las cookies o contenido de la página de twitter.com. Estos ataques, en un sitio (controlado por el atacante) comprometen los datos sensibles de otro sitio y se denominan Cross Site Scripting (XSS).
Este ataque en especial es un enfoque diferente para incrustar hojas de estilo (CSS), que se utilizan para controlar las fuentes, colores y diseño de las páginas HTML. CSS es particularmente interesante para este tipo de ataques debido a la forma en que es interpretado por el navegador. El manejo tolerante a fallos de los archivos CSS es lo que conduce a la vulnerabilidad.
Por ejemplo, este Tweet (deliberadamente construido), cuando se utiliza como un archivo CSS, el navegador interpretará la página como si lo fuera, pero permite embeber en los Tweets contenido dañino.
Internet Explorer 9 Beta también es vulnerable y las versiones anteriores del navegador también podrían verse afectados.
Microsoft ha respondido que está investigando la falla, pero todavía no hay actualización disponible y ya es posible ver la PoC.
Esta no es la primera vez que un empleado de Google divulga un fallo de seguridad de Microsoft. Tavis Ormandy recibió tanto críticas como apoyo a su decisión de hacer público un fallo en junio pasado. Esta situación es un poco diferente, ya que el fallo se hizo público gracias al documento de Carnegie Mellon y las revisiones realizadas por los otros fabricantes.
Fuente: Arstechnica
Cristian de la Redacción de Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!