Portal de Seguridad

Posts Tagged ‘Internet Explorer’

Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función “getElementsByTagName” de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a “Alta” para las páginas no confiables. O desactivar directamente el “Active Scripting” en las “Opciones de Internet”, pestaña de “seguridad”, “nivel personalizado”.

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de “Mis documentos” en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.

Más Información:

Millions of PDF invisibly embedded with your internal disk paths
http://securethoughts.com/2009/11/millions-of-pdf-invisibly-embedded-with-your-internal-disk-paths/

Microsoft Security Advisory (977981)
http://www.microsoft.com/technet/security/advisory/977981.mspx

Autor: Sergio de los Santos
Fuente: Hispasec

www.segu-info.com.ar

La última versión del navegador Internet Explorer de Microsoft contiene una falla que puede permitir serios ataques de seguridad contra sitios web que de otra forma son seguros.

La falla en el IE 8 puede ser explotada para introducir XSS, o cross-site scripting, errores en páginas web que de otra forma son seguras, según dos fuentes de Register, quienes discutieron la falla con la condición de no ser identificados. Microsoft fue notificado de la vulnerabilidad pocos meses atrás, dijeron.
Irónicamante, la falla reside en la protección agregada por los desarrolladores de Microsoft al IE 8 que está diseñando para impedir los ataques XSS contra los sitios. La característica funciona reescribiendo las páginas vulnerables usando una técnica conocidad como codificación de salida de modo que los caracteres y valores dañinos son reemplazados por otros seguros. Un portavoz de Google confirmó que es una “falla significativa” en la característica del IE 8 pero no quizo proveer datos específicos.

No está claro como pueden las protecciones causar vulnerabilidades XSS en sitios web que de otra forma son seguros. Michael Coates – un ingeniero senior de seguridad de aplicaciones de Aspect Security que estudió de cerca la característica pero estaba en desconocimiento de la vulnerabilidad – especuló que es posible conseguir que el IE 8 reescriba páginas de forma tal que los valores nuevos disparen un ataque en un sitio limpio.

“Si un atacante puede imaginar una falla en la forma que IE8 hace la codificación de salida y luego crea una cadena específica que el atacante conocerá que será transformada en un ataque, podrían usarlo como valor de entrada … que en realidad resulta en un ataque disparado a la página,” dijo. “Esta podría ser una forma de introducir un ataque en una página que de otra forma no tienen vulnerabilidades.”

Los ataques XSS son una forma de manipular la URL del sitio para inyectar código malicioso o contenido en una página web confiable. Muchos observadores de seguridad han llegado a ver las protecciones del IE 8 como la respuesta de Microsoft al NoScript, una extensión popular que impide el XSS y otros tipos de ataques contra los usuarios del navegador Firefox.

Al final de la tarde del jueves, Microsoft le dijo a The Register: “Microsoft está investigando nuevas afirmaciones públicas sobre una vulnerabilidad en Internet Explorer. Actualmente no tenemos conocimiento de ningún ataque que intente usar la declarada vulnerabilidad o de algún impacto en los clientes.”

Una vez que la investigación concluya, la compañía “tomará la acción apropiada”, incluso liberar un parche o las instrucciones de como los usuarios puede protegerse de la explotación.

Cuando Microsoft introdujo las protecciones, también creó una forma para que los webmastersignoraran la característica (agregando le encabezado de respuesta “X-XSS-Protection: 0″). Una revisión de los 50 sitios web más visitados muestra que sólo las propiedades de web que posee Google han optado por hacerlo. El pequeño número de sitios que bloquean la protección da para preguntarse que tan extendida está la vulnerabilidad.

Preguntado Google porqué se priva de la protección, un portavoz de la compañía escribió en un correo electrónico:

“Estamos al tanto de una falla significativa que afecta el filtrado de XSS en el IE 8, y hemos dado los pasos para proteger a nuestros usuarios deshabilitando el mecanismo en nuestras propiedades hasta que se libere un arreglo.” No dio más detalles.

Además de potencialmente introducir serias vulnerabilidades en páginas web, las protecciones XSS pueden acarrear otros resultados indeseables. Y esto es debido a que el motor señala frecuentemente caracteres perfectamente aceptables como si fueran potencialmente peligrosos. Un ejemplo de un falso positivo tal está  aquí.

David Ross, un ingeniero senior de seguridad de software de Microsoft, ha dicho que los desarrolladores que diseñan la característica apuntaron a ir hacia un balance pragmático entre proteger a los usuarios y no romper la web.

“Necesitamos encontrar una forma de hacer el filtrado automático e indoloro y por lo tanto proveer el máximo beneficio a los usuarios,” escribió. “En resumen, el Filtro XSS probará su valor elevando la  valla y mitigando los tipos de XSS que se encuentran más comunmente por la web de hoy día, por defecto, para los usuarios de Internet Explorer 8.”

Traducción: Raúl Batista – Segu-info
Autor: Dan Goodin, The Register
Fuente: SecurityFocus

www.segu-info.com.ar