Vulnerabilidad en control ActiveX HHCTRL, en IE

Vulnerabilidad en control ActiveX HHCTRL, en IE
http://www.vsantivirus.com/vul-ie-hhctrl004.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha reportado una vulnerabilidad en el Internet Explorer, que puede ser
utilizada por piratas informáticos para provocar un ataque del tipo
CROSS-SITE-SCRIPTING (XSS).

Este tipo de ataque permite a un usuario remoto introducir en el campo de
un formulario o código embebido en una página, un script (perl, php,
javascript, asp) que tanto al almacenarse como al mostrarse en el
navegador, puede provocar la ejecución de un código no deseado en la
máquina de la víctima, y en el contexto de un dominio exterior.

La vulnerabilidad se produce en el control ActiveX llamado HHCTRL.

No existe solución de parte de Microsoft, y está disponible una prueba de
concepto (PoC) en Internet.

El fallo afecta a Microsoft Internet Explorer 6.0 con SP2 instalado.

Se sugiere utilizar la siguiente configuración, que previene se puedan
producir ataques maliciosos que intenten aprovecharse de esta
vulnerabilidad:

Configuración personalizada para hacer más seguro el IE
http://www.vsantivirus.com/faq-siti...fianza.htm


Créditos: Roozbeh Afrasiabi

Referencias:

Microsoft Internet Explorer HHCtrl ActiveX Control Cross-Domain Scripting
Vulnerability
http://www.securityfocus.com/bid/11521/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com



Copyright 1996-2004 Video Soft BBS