Posible vulnerabilidad XSS (Cross Site Scripting) en el navegador Internet Explorer
Microsoft investiga una supuesta vulnerabilidad XSS (Cross Site Scripting) en su navegador Internet Explorer. De acuerdo a reportes confirmados, el hacker David Leo divulgó la vulnerabilidad el sábado pasado junto con código funcional de una prueba de concepto.
Aunque se sabe que Microsoft trabaja en un parche para la vulnerabilidad, no se ha dado una fecha para la publicación de la corrección. Según se informó, la falla se presenta en versiones actualizadas del explorador en sistemas Windows 7.
Joey Fowler, del equipo de seguridad de Tumblr, escribió en la lista de correo Full Disclosure que la vulnerabiliad era una amenaza creíble y peligrosa. “Mientras las páginas que se carguen en los frames no contengan encabezados ‘X-Frame-Options’ (con valores deny o same-origin), se ejecutará [la prueba de concepto] exitosamente”, dijo Fowler. “Al mismo tiempo que se inyecta el código malicioso, muchas de las Políticas de Seguridad de Contenido se evitan (mediante la inyección de código HTML en lugar de JavaScript)”.
Fowler dijo que la vulnerabiliad hace viables todos los vectores XSS para los atacantes. Leo utilizó el sitio The Daily Mail para demostrar el ataque. Los usuarios de Internet Explorer serán redirigidos a la página de correo en la que el contenido de una página externa se carga y en el que se puede leer “hacked by Deusen”.
La barra de direcciones del navegador se mantendrá sin cambios durante el ataque, haciendo que éste sea atractivo para sitios phishing.
Ver informacion original al respecto en Fuente:
http://www.seguridad.unam.mx/noticia/?noti=2095
Nota: Veremos si entre los parches del próximo martes 10 de febrero, ya se contempla dicha vulnerabilidad…
saludos
ms, 6-2-2015
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Los comentarios están cerrados.