Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Microsoft Explorer 6 es vulnerable a que un sitio web construido maliciosamente, pueda eludir las restricciones
para obtener información de ventanas pertenecientes a diferentes dominios (cross-domain). Esto puede permitir
que un usuario remoto no autenticado, pueda acceder al contenido de una página web que el usuario esté
visitando.La seguridad implementada en Internet Explorer, debería garantizar que las ventanas del navegador que se
encuentren bajo el control de diferentes sitios web, no puedan interferir entre ellas ni acceder a los datos
relacionados con cada una de las mismas, pero si que pueda existir cierta interactividad entre ellas.
Para diferenciar este tipo de interactividad con la posibilidad de no interferir entre diferentes ventanas
abiertas, se ha creado el concepto "dominio". Un dominio es un límite de seguridad, las ventanas abiertas dentro
del mismo dominio pueden interactuar entre sí, pero las ventanas de diferentes dominios no pueden hacerlo.
Internet Explorer 6 no aplica correctamente este modelo de seguridad cuando la ubicación de una página es
modificada mediante el uso de un determinado objeto. Una prueba de concepto que demuestra esta vulnerabilidad se
ha hecho pública.
Un atacante podría sacar provecho de la misma, por el simple hecho de convencer al usuario a visualizar un
determinado documento HTML (una página web o un correo electrónico con formato HTML). Si el ataque es exitoso,
el delincuente puede obtener acceso al contenido web de otro dominio (por ejemplo, acceder al contenido de la
página de acceso a una institución bancaria, cuenta de correo vía web, etc.)
No se conocen soluciones apropiadas para este problema al momento de publicarse esta alerta. Cómo la misma no
afecta a Internet Explorer 7, se aconseja a los usuarios de IE6 actualizarse a IE7.
También puede mitigarse esta vulnerabilidad, configurando Internet Explorer 6 como describimos en el siguiente
artículo de VSAntivirus.com:
Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-sitios-confianza.htm
Referencias:
Vulnerability Note VU#923508
Microsoft Internet Explorer 6 contains a cross-domain vulnerability
http://www.kb.cert.org/CERT_WEB/services/vul-notes.nsf/id/923508
CERT® Advisory CA-2000-02 Malicious HTML Tags Embedded in Client Web Requests
http://www.cert.org/advisories/CA-2000-02.html
Internet Explorer 6 Window "location" Handling Vulnerability
http://secunia.com/advisories/30857/
Créditos:
Ph4nt0m Security Team
