Vuln. IE (Guardar Imagen...)
http://www.nautopia.net/archives/es...n.php#more
vulnerability Esta noticia perfectamente podría llevar de título
Quitarse la venda (de los ojos); es un tema que viene de lejos y está
relacionado con el ítem "Ocultar las extensiones para tipos conocidos
de archivos" (habilitado por defecto), al que con frecuencia hay que
hacer reseña.
Aunque este artículo de MS tiene fecha de 2003, desde Secunia podemos
leer que IE 6 sigue presentando el mismo problema, confirmado en
sistemas Windows XP SP2 (circula por la red una PoC al respecto).
Debido a la manera en que IE hace uso de la extensión del fichero
desde el nombre que le da la URL a la hora de guardar la imagen
("Guardar imagen como"), ignorando la extensión final en caso de
existir más de una, sitios webs maliciosos podrían explotarlo y que
usuarios engañados descargasen imágenes aparentemente inocuas pero que
podrían llevar enmascaradas por ejemplo aplicaciones HTML (.hta)
maliciosas u otro tipo de código no deseado.
La solución es algo recomendable no sólo por este caso y consiste en
desmarcar la opción "Ocultar las extensiones para tipos conocidos de
archivos" desde el Explorador de windows > Herramientas > Opciones de
carpeta > Ver, o bien desde Mi PC > Herramientas > Opciones de carpeta
Ver (según sistema).
Créditos y enlaces relacionados: cyber flash, Secunia.
Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Noviembre 26, 2004 03:41 PM
Últimos mensajes - Powered by IBM
Palabras claves
Hacer una pregunta
Siga el debate
Tengo una respuesta
Busqueda sugerida
Jueves 25 de abril - 20:49
Registrar
Leer las respuestas