[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

[Sop.Tec.LinuxPPP] Boletin de Seguridad UNAM-CERT 2004-011

-----BEGIN PGP SIGNED MESSAGE-----

    --------------------------------------------------------------------
                                 UNAM-CERT

                    Departamento de Seguridad en Computo

                                DGSCA- UNAM

  	         Boletín de Seguridad UNAM-CERT 2004-011

	                    Vulnerabilidad del Tipo
               Redireccionamiento Cross-Domain en Internet Explorer
     ----------------------------------------------------------------------


    El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes
    de Seguridad en Cómputo, ha emitido éste boletín donde informan sobre
    una vulnerabilidad del tipo cross-domain en Internet Explorer (IE),
    que podría permitir a un intruso ejecutar código arbitrario con los
    privilegios del usuario ejecutando IE.

    Fecha de Liberación 	11 de Junio de 2004

    Ultima Revisión: 		----

    Fuente:		 	CERT/CC y diversos reportes de Equipos de
				Respuesta a Incidentes, así como Foros y
				Listas de Discusión.


    Sistemas Afectados
    ==================

        *  Sistemas Windows de Microsoft.



    I. Descripción
    ==============

    Existe una vulnerabilidad del tipo cross-domain en la forma en como IE
    determina la zona de seguridad de un marco (frame) del navegador que
    es abierto en un dominio y después es redireccionado a un servidor Web
    en un dominio diferente. Un conjunto complejo de condiciones esta
    involucrado, incluyendo una respuesta HTTP retardada (código de estado
    3xx) para cambiar el contenido del marco al nuevo dominio. La Nota de
    Vulnerabilidad del CERT/CC VU#713878 (http://www.kb.cert.org/vuls/id/713878)
    describe esta vulnerabilidad en una forma técnica más detallada y será
    actualizada cuando este disponible una mayor información.

    Otros programas que almacenan el control ActiveX WebBrowser o utilizan
    el motor de interpretación MSHTML, como Outlook y Outlook Express,
    podrían también ser afectados.

    Este problema ha sido referenciado por el grupo CVE como CAN-2004-0549
    (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0549).



    II. Impacto
    ===========

    Al convencer a un víctima para visualizar un documento HTML (página Web,
    correo HTML), un intruso podría ejecutar un script en un dominio de
    seguridad diferente al que contiene el documento del intruso. Causando
    que el script sea ejecutado en la Zona de Equipo Local, el intruso
    podría ejecutar código arbitrario con privilegios del usuario ejecutando
    IE.

    Existe un exploit liberado públicamente para esta vulnerabilidad, y el
    CERT/UNAM-CERT han monitoreado reportes de incidentes que indican que
    esta vulnerabilidad esta siendo activamente explotada.



    III. Solución
    =============

    Hasta que una solución completa este disponible de Microsoft,
    considere las siguientes soluciones temporales.


    * Deshabilite los Controles Active Scripting y ActiveX

    Deshabilite los controles Active scripting y ActiveX en la Zona
    de Internet (o cualquier zona utilizada por un intruso) parece prevenir
    la explotación de esta vulnerabilidad. Al deshabilitar los controles
    Active scripting y ActiveX en la Zona de Equipo Local prevendrá el uso
    de la técnicas utilizadas por los intrusos. Las instrucciones para
    deshabilitar Active Scripting en la Zona de Internet pueden ser encontradas
    en el documento: Malicious Web Scripts FAQ

    Consulte el documento Microsoft Knowledge Base Article 833633 para mayor
    información sobre asegurar la Zona de Equipo Local. También, el Service
    Pack 2 para Windows XP (actualmente en RC1) incluye estas y otras mejoras
    de seguridad para IE.


    * No de Clic a Vínculos NO solicitados.

    No debe dar clic en URLs no solitados recibidos en un correo electrónico,
    mensajes instantáneos, foros de discusión o canales IRC (Internet Relay
    Chat). Esta recomendación es una buena práctica de seguridad, lo cual
permite
    que se prevenga la explotación de esta vulnerabilidad en todos los casos.


    * Mantenga Actualizado su Software Antivirus.

    El software antivirus con las definiciones de virus actualizadas podría
    identificar y prevenir algunos intentos de explotar esta vulnerabilidad.
    Las variaciones de exploits o ataques podrían no ser detectadas.
    No es una buena práctica de seguridad confiar solamente en el software
    antivirus como defensa para esta vulnerabilidad.



     Apendice A. Referencias
     =======================


	* Vulnerability Note VU#713878
	  <http://www.kb.cert.org/vuls/id/713878>
	* FAQ - Scripts de Web Maliciosos
          <http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps>
    	* Recursos de Virus de Cómputo
          <http://www.us-cert.gov/other_sources/viruses.html>
    	* CVE CAN-2004-0549
          <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0549>
    	* Microsoft Knowledge Base Article 833633
          <http://support.microsoft.com/default.aspx?scid=833633>
    	* Windows XP Service Pack 2 RC1

<http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx>
    	* Incrementa la Seguridad en Tu Navegador y Correo Electrónico
          <http://www.microsoft.com/security/incident/settings.mspx>
    	* Trabajando con las Configuraciones de Seguridad de Internet Explorer 6

<http://www.microsoft.com/windows/ie/using/howto/security/settings.mspx>


    ------------------------------------------------------------------------

    El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo
    en la elaboración, revisión y traducción de éste boletín a:

        * Jesús R. Jiménez Rojas (jrojas en seguridad.unam.mx)


    ------------------------------------------------------------------------

    INFORMACIÓN
    ===========

    Éste documento se encuentra disponible en su formato original en la
    siguiente dirección:

    http://www.us-cert.gov/cas/techalerts/TA04-163A.html

    La versión en español del documento se encuentra disponible en:

    http://www.seguridad.unam.mx


http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-011.html

     Para mayor información acerca de éste boletín de seguridad contactar a:

                                UNAM CERT
                   Equipo de Respuesta a Incidentes UNAM
                    Departamento de Seguridad en Cómputo
                                DGSCA - UNAM
                      E-Mail : unam-cert en seguridad.unam.mx
                         http://www.unam-cert.unam.mx
                         http://www.seguridad.unam.mx
                         ftp://ftp.seguridad.unam.mx
         		    Tel : 56 22 81 69
              		    Fax : 56 22 80 43



-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQMzHXXAvLUtwgRsVAQH8ewf+OWouESvT6kxP3fJtITv59yBH+ktQK0Mm
PnyybXop4BXzSggVIzD88RkH4606uF8Q2Or+EAj66Jurvx3mk54qzarYmP0FyGRA
bsPP519g91YkPcVpzSC6cw1kVL48ErMV8a2mpwPTs+Qr2quRC8GbUWAzFeXSPwRH
InzJgbvKqa/xK6HVNJKcoySKXoM6q2zxyJytRXDEvNfrahicqi3fsAxs8SJ9hrHM
D+LM6c/gs9IZfX3zQNqKZdvsekm7cFtwBqfhfYlF2Z0KASdESFIyhTPQuvCuFxcC
vgjSIykorLo5Yfk2rQrpPwbS1Hvcp0XJ14YkNusrLZ0ajMRjsRtZPQ==
=FcMd
-----END PGP SIGNATURE-----

_______________________________________________
Lista de Correo Mx-seguridad 

Mensajes a esta lista : Mx-seguridad en ds5000 seguridad unam mx
Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/mx-seguridad
Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html
_______________________________________________
[Hilos de Discusión] [Fecha] [Tema] [Autor]