Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Microsoft Internet Explorer Datos del portapapeles accesibles.

02/09/2005 - 15:27 por 1x4x9 | Informe spam
Ayuda Hacer una pregunta
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
email Siga el debateRespuesta 30 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#1 JM Tella Llop [MVP Windows]
02/09/2005 - 15:34 | Informe spam
Mirate el codigo fuente de la pagina. porque es un engañabobos esa
noticia.

Simplemente te lo muestra a ti, y a nivel local y ese dato no sería
capturable nunca por el sitio web.

(no todo lo que se publica en la red es verdad.. y o bien por prensa
amarilla sensacionalista, o bien por mala fe, o bien por
desconocimiento.. hay que ser precavidos. Y de paso, comprobar que lo
que dicen es verdad antes de republicar la noticia)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"1x4x9" wrote in message
news:df9k0r$k78$
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
Respuesta Responder a este mensaje
#2 JM Tella Llop [MVP Windows]
02/09/2005 - 15:34 | Informe spam
Mirate el codigo fuente de la pagina. porque es un engañabobos esa
noticia.

Simplemente te lo muestra a ti, y a nivel local y ese dato no sería
capturable nunca por el sitio web.

(no todo lo que se publica en la red es verdad.. y o bien por prensa
amarilla sensacionalista, o bien por mala fe, o bien por
desconocimiento.. hay que ser precavidos. Y de paso, comprobar que lo
que dicen es verdad antes de republicar la noticia)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"1x4x9" wrote in message
news:df9k0r$k78$
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
Respuesta Responder a este mensaje
#3 Daniel Sanz
05/09/2005 - 00:36 | Informe spam
Simplemente te lo muestra a ti, y a nivel local y ese dato no sería
capturable nunca por el sitio web.



Me temo que te equivocas.

He hecho una página de prueba y hospedado en un servidor web (un W2003
corriendo Internet Information Server), y si que se puede.

La verdad es que no tiene mucha ciencia, es muy fácil, cualquiera lo
puede probar. Los datos del portapeles que capturas se encuentran en la
sesión, así que basta con hacer un POST para almacenarlos en el
servidor web.

He realizado las pruebas y funciona.

Bye,
Dani
Respuesta Responder a este mensaje
#4 Daniel Sanz
05/09/2005 - 00:36 | Informe spam
Simplemente te lo muestra a ti, y a nivel local y ese dato no sería
capturable nunca por el sitio web.



Me temo que te equivocas.

He hecho una página de prueba y hospedado en un servidor web (un W2003
corriendo Internet Information Server), y si que se puede.

La verdad es que no tiene mucha ciencia, es muy fácil, cualquiera lo
puede probar. Los datos del portapeles que capturas se encuentran en la
sesión, así que basta con hacer un POST para almacenarlos en el
servidor web.

He realizado las pruebas y funciona.

Bye,
Dani
Respuesta Responder a este mensaje
#5 JM Tella Llop [MVP Windows]
05/09/2005 - 14:35 | Informe spam
Configura en opciones de internet, en la parte de scripting que no permita
el copy&paste

y solucionado.

P.D.: aunque podemos estar de acuerdo en que no es funcion del usuario final
el revisar las opciones de internettampoco está de mas el ser cosciente
lo que quiere decir cada una.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Simplemente te lo muestra a ti, y a nivel local y ese dato no sería
capturable nunca por el sitio web.



Me temo que te equivocas.

He hecho una página de prueba y hospedado en un servidor web (un W2003
corriendo Internet Information Server), y si que se puede.

La verdad es que no tiene mucha ciencia, es muy fácil, cualquiera lo
puede probar. Los datos del portapeles que capturas se encuentran en la
sesión, así que basta con hacer un POST para almacenarlos en el
servidor web.

He realizado las pruebas y funciona.

Bye,
Dani
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida