[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]
[Hilos de Discusión] [Fecha] [Tema] [Autor]-----BEGIN PGP SIGNED MESSAGE----- -------------------------------------------------------------------- UNAM-CERT Departamento de Seguridad en Computo DGSCA- UNAM Boletín de Seguridad UNAM-CERT 2004-011 Vulnerabilidad del Tipo Redireccionamiento Cross-Domain en Internet Explorer ---------------------------------------------------------------------- El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, ha emitido éste boletín donde informan sobre una vulnerabilidad del tipo cross-domain en Internet Explorer (IE), que podría permitir a un intruso ejecutar código arbitrario con los privilegios del usuario ejecutando IE. Fecha de Liberación 11 de Junio de 2004 Ultima Revisión: ---- Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión. Sistemas Afectados ================== * Sistemas Windows de Microsoft. I. Descripción ============== Existe una vulnerabilidad del tipo cross-domain en la forma en como IE determina la zona de seguridad de un marco (frame) del navegador que es abierto en un dominio y después es redireccionado a un servidor Web en un dominio diferente. Un conjunto complejo de condiciones esta involucrado, incluyendo una respuesta HTTP retardada (código de estado 3xx) para cambiar el contenido del marco al nuevo dominio. La Nota de Vulnerabilidad del CERT/CC VU#713878 (http://www.kb.cert.org/vuls/id/713878) describe esta vulnerabilidad en una forma técnica más detallada y será actualizada cuando este disponible una mayor información. Otros programas que almacenan el control ActiveX WebBrowser o utilizan el motor de interpretación MSHTML, como Outlook y Outlook Express, podrían también ser afectados. Este problema ha sido referenciado por el grupo CVE como CAN-2004-0549 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0549). II. Impacto =========== Al convencer a un víctima para visualizar un documento HTML (página Web, correo HTML), un intruso podría ejecutar un script en un dominio de seguridad diferente al que contiene el documento del intruso. Causando que el script sea ejecutado en la Zona de Equipo Local, el intruso podría ejecutar código arbitrario con privilegios del usuario ejecutando IE. Existe un exploit liberado públicamente para esta vulnerabilidad, y el CERT/UNAM-CERT han monitoreado reportes de incidentes que indican que esta vulnerabilidad esta siendo activamente explotada. III. Solución ============= Hasta que una solución completa este disponible de Microsoft, considere las siguientes soluciones temporales. * Deshabilite los Controles Active Scripting y ActiveX Deshabilite los controles Active scripting y ActiveX en la Zona de Internet (o cualquier zona utilizada por un intruso) parece prevenir la explotación de esta vulnerabilidad. Al deshabilitar los controles Active scripting y ActiveX en la Zona de Equipo Local prevendrá el uso de la técnicas utilizadas por los intrusos. Las instrucciones para deshabilitar Active Scripting en la Zona de Internet pueden ser encontradas en el documento: Malicious Web Scripts FAQ Consulte el documento Microsoft Knowledge Base Article 833633 para mayor información sobre asegurar la Zona de Equipo Local. También, el Service Pack 2 para Windows XP (actualmente en RC1) incluye estas y otras mejoras de seguridad para IE. * No de Clic a Vínculos NO solicitados. No debe dar clic en URLs no solitados recibidos en un correo electrónico, mensajes instantáneos, foros de discusión o canales IRC (Internet Relay Chat). Esta recomendación es una buena práctica de seguridad, lo cual permite que se prevenga la explotación de esta vulnerabilidad en todos los casos. * Mantenga Actualizado su Software Antivirus. El software antivirus con las definiciones de virus actualizadas podría identificar y prevenir algunos intentos de explotar esta vulnerabilidad. Las variaciones de exploits o ataques podrían no ser detectadas. No es una buena práctica de seguridad confiar solamente en el software antivirus como defensa para esta vulnerabilidad. Apendice A. Referencias ======================= * Vulnerability Note VU#713878 <http://www.kb.cert.org/vuls/id/713878> * FAQ - Scripts de Web Maliciosos <http://www.cert.org/tech_tips/malicious_code_FAQ.html#steps> * Recursos de Virus de Cómputo <http://www.us-cert.gov/other_sources/viruses.html> * CVE CAN-2004-0549 <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2004-0549> * Microsoft Knowledge Base Article 833633 <http://support.microsoft.com/default.aspx?scid=833633> * Windows XP Service Pack 2 RC1 <http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/winxpsp2.mspx> * Incrementa la Seguridad en Tu Navegador y Correo Electrónico <http://www.microsoft.com/security/incident/settings.mspx> * Trabajando con las Configuraciones de Seguridad de Internet Explorer 6 <http://www.microsoft.com/windows/ie/using/howto/security/settings.mspx> ------------------------------------------------------------------------ El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en la elaboración, revisión y traducción de éste boletín a: * Jesús R. Jiménez Rojas (jrojas en seguridad.unam.mx) ------------------------------------------------------------------------ INFORMACIÓN =========== Éste documento se encuentra disponible en su formato original en la siguiente dirección: http://www.us-cert.gov/cas/techalerts/TA04-163A.html La versión en español del documento se encuentra disponible en: http://www.seguridad.unam.mx http://www.unam-cert.unam.mx/Boletines/Boletines2004/boletin-UNAM-CERT-2004-011.html Para mayor información acerca de éste boletín de seguridad contactar a: UNAM CERT Equipo de Respuesta a Incidentes UNAM Departamento de Seguridad en Cómputo DGSCA - UNAM E-Mail : unam-cert en seguridad.unam.mx http://www.unam-cert.unam.mx http://www.seguridad.unam.mx ftp://ftp.seguridad.unam.mx Tel : 56 22 81 69 Fax : 56 22 80 43 -----BEGIN PGP SIGNATURE----- Version: PGP 6.5.8 iQEVAwUBQMzHXXAvLUtwgRsVAQH8ewf+OWouESvT6kxP3fJtITv59yBH+ktQK0Mm PnyybXop4BXzSggVIzD88RkH4606uF8Q2Or+EAj66Jurvx3mk54qzarYmP0FyGRA bsPP519g91YkPcVpzSC6cw1kVL48ErMV8a2mpwPTs+Qr2quRC8GbUWAzFeXSPwRH InzJgbvKqa/xK6HVNJKcoySKXoM6q2zxyJytRXDEvNfrahicqi3fsAxs8SJ9hrHM D+LM6c/gs9IZfX3zQNqKZdvsekm7cFtwBqfhfYlF2Z0KASdESFIyhTPQuvCuFxcC vgjSIykorLo5Yfk2rQrpPwbS1Hvcp0XJ14YkNusrLZ0ajMRjsRtZPQ== =FcMd -----END PGP SIGNATURE-----
_______________________________________________ Lista de Correo Mx-seguridad Mensajes a esta lista : Mx-seguridad en ds5000 seguridad unam mx Archivos historicos :http://www.seguridad.unam.mx/mailman/listinfo/mx-seguridad Dar de baja de esta lista : http://www.seguridad.unam.mx/unsubscribe.html _______________________________________________