Desbordamiento de búfer con etiqueta IFRAME en IE

04/11/2004 - 21:46 por Evra | Informe spam
Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-i...031104.htm

Una vulnerabilidad considerada crítica, ha sido reportada en Internet
Explorer, la cuál puede ser explotada por usuarios maliciosos para
comprometer el sistema del usuario afectado.

La vulnerabilidad es causada por un error de límites en el manejo de
ciertos atributos de las etiquetas FRAME e IFRAME en el código HTML.
Esto puede ser explotado para causar un desbordamiento de búfer a
partir de un documento HTML maliciosamente construido, de tal forma
que contenga cadenas excesivamente largas en los atributos SRC y NAME.

La explotación exitosa de este fallo, podría permitir la ejecución
arbitraria de código en el equipo afectado, con los privilegios del
usuario actual.

La vulnerabilidad ha sido confirmada en las siguientes versiones,
todas ellas con las últimas actualizaciones instaladas:

- Internet Explorer 6.0
- Internet Explorer 6.0 de Windows XP
- Internet Explorer 6.0 de Windows XP SP1
- Internet Explorer 6.0 de Windows 2000

No es afectado el Internet Explorer de Windows XP con el SP2
instalado.

Esta alerta ha sido considerada como "extremadamente crítica" por
Secunia, debido a que existe al menos un exploit totalmente operativo,
que ha sido publicado en listas de correos y foros públicos.

El exploit utiliza JavaScript para preparar la memoria en el equipo de
la víctima, de tal modo de generar los bloques necesarios para poder
ejecutar código en un entorno shell. Sin este manejo previo, el ataque
puede ser sumamente difícil de implementar.

En las pruebas realizadas, el exploit produce un consumo excesivo de
memoria y afecta al componente SHDOCVW.DLL, pero a partir de él podría
generarse otro exploit más dañino, incluso con la posibilidad de
ejecutar un código determinado.

Otros programas relacionados, como Outlook, Outlook Express, AOL,
Lotus Notes, etc., que utilizan la facilidad de visualizar código HTML
a partir del control ActiveX WebBrowser, también pueden ser afectados.

La vulnerabilidad fue descubierta con el uso de una herramienta
automatizada que genera código HTML aleatoriamente modificado para
detectar problemas de seguridad en los navegadores más conocidos, como
Internet Explorer, Mozilla, Firefox, Netscape, Konqueror, Safari,
Lynx, etc.

Para explotar este fallo en forma remota, solo es necesario engañar al
usuario para que visualice en su navegador un documento HTML
especialmente modificado. Esto incluye un mensaje electrónico con
formato HTML.

Desactivar la ejecución de Active Scripting, también impide la
ejecución del componente que permite la preparación de la memoria,
como se explicaba antes, por lo que se recomienda a todos los usuarios
configurar Internet Explorer como se explica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm

También se recomienda la actualización inmediata con el Service Pack
2, de Windows XP, para estar protegido de ésta y otra clase de ataques
similares.

Otras recomendaciones:

No seguir enlaces en mensajes no solicitados, tanto en correo
electrónico, como programas de mensajería instantánea, foros o canales
de IRC.

Configurar el cliente de correo electrónico para visualizar los
mensajes en formato de texto plano. En Outlook Express 6, por ejemplo,
configurar en Herramientas, Opciones, la casilla "Leer todos los
mensajes como texto sin formato".

Mantener actualizado su antivirus.


Créditos: ned y SkyLined

Investigación adicional y exploit: Berend-Jan Wever

Referencias:

Internet Explorer IFRAME Buffer Overflow Vulnerability
http://secunia.com/advisories/12959/
 

Leer las respuestas

#1 ANONIMATO
04/11/2004 - 21:50 | Informe spam
Evra dijo:
Desbordamiento de búfer con etiqueta IFRAME en IE
http://www.vsantivirus.com/vul-ie-i...031104.htm

Una vulnerabilidad considerada crítica, ha sido reportada en Internet
Explorer, la cuál puede ser explotada por usuarios maliciosos para
comprometer el sistema del usuario afectado.

La vulnerabilidad es causada por un error de límites en el manejo de
ciertos atributos de las etiquetas FRAME e IFRAME en el código HTML.
Esto puede ser explotado para causar un desbordamiento de búfer a
partir de un documento HTML maliciosamente construido, de tal forma
que contenga cadenas excesivamente largas en los atributos SRC y NAME.

La explotación exitosa de este fallo, podría permitir la ejecución
arbitraria de código en el equipo afectado, con los privilegios del
usuario actual.

La vulnerabilidad ha sido confirmada en las siguientes versiones,
todas ellas con las últimas actualizaciones instaladas:

- Internet Explorer 6.0
- Internet Explorer 6.0 de Windows XP
- Internet Explorer 6.0 de Windows XP SP1
- Internet Explorer 6.0 de Windows 2000

No es afectado el Internet Explorer de Windows XP con el SP2
instalado.

Esta alerta ha sido considerada como "extremadamente crítica" por
Secunia, debido a que existe al menos un exploit totalmente operativo,
que ha sido publicado en listas de correos y foros públicos.

El exploit utiliza JavaScript para preparar la memoria en el equipo de
la víctima, de tal modo de generar los bloques necesarios para poder
ejecutar código en un entorno shell. Sin este manejo previo, el ataque
puede ser sumamente difícil de implementar.

En las pruebas realizadas, el exploit produce un consumo excesivo de
memoria y afecta al componente SHDOCVW.DLL, pero a partir de él podría
generarse otro exploit más dañino, incluso con la posibilidad de
ejecutar un código determinado.

Otros programas relacionados, como Outlook, Outlook Express, AOL,
Lotus Notes, etc., que utilizan la facilidad de visualizar código HTML
a partir del control ActiveX WebBrowser, también pueden ser afectados.

La vulnerabilidad fue descubierta con el uso de una herramienta
automatizada que genera código HTML aleatoriamente modificado para
detectar problemas de seguridad en los navegadores más conocidos, como
Internet Explorer, Mozilla, Firefox, Netscape, Konqueror, Safari,
Lynx, etc.

Para explotar este fallo en forma remota, solo es necesario engañar al
usuario para que visualice en su navegador un documento HTML
especialmente modificado. Esto incluye un mensaje electrónico con
formato HTML.

Desactivar la ejecución de Active Scripting, también impide la
ejecución del componente que permite la preparación de la memoria,
como se explicaba antes, por lo que se recomienda a todos los usuarios
configurar Internet Explorer como se explica en el siguiente artículo:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm

También se recomienda la actualización inmediata con el Service Pack
2, de Windows XP, para estar protegido de ésta y otra clase de ataques
similares.

Otras recomendaciones:

No seguir enlaces en mensajes no solicitados, tanto en correo
electrónico, como programas de mensajería instantánea, foros o canales
de IRC.

Configurar el cliente de correo electrónico para visualizar los
mensajes en formato de texto plano. En Outlook Express 6, por ejemplo,
configurar en Herramientas, Opciones, la casilla "Leer todos los
mensajes como texto sin formato".

Mantener actualizado su antivirus.


Créditos: ned y SkyLined

Investigación adicional y exploit: Berend-Jan Wever

Referencias:

Internet Explorer IFRAME Buffer Overflow Vulnerability
http://secunia.com/advisories/12959/



Gracias, ya lo habia puesto yo, pero nunca esta de mas recordarlo ;-)

(dicen que estabas baneado... es verdad? ;-)

Ejemplo de MVP insultando:
http://tinyurl.com/2rxdv

Lb fbv ry nhgragvpb NABAVZNGB

Preguntas similares