Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Errores en explorer?

19/11/2004 - 19:43 por JP | Informe spam
Ayuda Hacer una pregunta
He leido en un articulo lo siguiente:

Se acaban de descubrir dos nuevos bugs en Internet Explorer que podrían ser
aprovechados para engañar al usuario de forma que descargue archivos
ejecutables malignos, haciéndose pasar por simples archivos html.

El primer bug permite burlar una característica del Service Pack 2 que avisa
al usuario cuando se abren archivos con extensiones potencialmente
peligrosas. El bug consiste en que si el archivo a descargar se manda con
determinada cabecera HTTP, en ciertas situaciones el navegador no avisará al
usuario.

El segundo error consiste en un fallo al usar la función de Javascript
"execCommand()", que puede aprovecharse para utilizar un diálogo de descarga
del tipo "Guardar documento HTML" a la hora de guardar el documento en el pc
del usuario, y que permite ocultar la verdadera extensión del archivo.

Evidentemente, para que el ataque tuviera éxito el usuario debería tener
activada la opción de ocultar extensiones conocidas (activada por defecto)
por lo que la vulnerabilidad solo se ha calificado como "Moderadamente
crítica".

Por el momento Microsoft no ha publicado ningún parche, por lo que se
recomienda desactivar Active Scripting y la opción de ocultar las extensiones
para los tipos de archivo conocidos.

Pues bien, para cuando ese parche ?

Gracias a todos
email Siga el debateRespuesta 7 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#6 JM Tella Llop [MVP Windows]
19/11/2004 - 20:54 | Informe spam
Si alguien acusa... debe aportar una minima prueba.

Y desde luego, por lo poco que he leido en esa web... no es seria. Es una web de mindundis.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"JP" wrote in message news:
Mira: te envio otro link, pero no tengo ni idea que es eso de prueba de
concepto, porque no soy tecnico en estas materias, se supone que si la
empresa del link pone en una web que ha encontrado una serie de agujeros de
seguridad, se supone, que han efectuado una serie de pruebas, o sino no lo
pondrian, por eso te pregunto si eso es asi como es que microsoft no ha
puesto ningun parche, pero aparte de eso, no hace falta que me repitas tanto
eso de prueba de concepto, ya que ni soy tecnico y solo soy un usuario,
simplemente contestame si se debe hacer caso o no de esa pagina, y si es o no
es correcto, simplemente. Ya que si no es una pagina seria, no volvere a
hacerle caso, pero si lo es, espero que microsoft ponga un parche, o
solucione el tema. Nada mas. Y si la pagina no es seria hay una serie de
vinculos para decirles que no tienen razon. Es lo minimo que se puede hacer,
creo yo.

Un saludo y un abrazo a todos.


"JM Tella Llop [MVP Windows]" escribió:

¿donde se publica la prueba de concepto?

cualquier pagina seria, ante algo de estas caractristicas publica su referencia y la prueba de concepto.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"JP" wrote in message news:
> esa informacion la he encontrado en la siguiente dirección:
>
> http://www.mozillaes.org/
>
> Si no es cierto, rogaria que me lo indicara, muchas gracias por todo
>
>
> "JM Tella Llop [MVP Windows]" escribió:
>
>> ¿donde está es informacion? ¿y la prueba de concepto?
>>
>> Jose Manuel Tella Llop
>> MVP - Windows
>> (quitar XXX)
>> http://www.multingles.net/jmt.htm
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no rights.
>> You assume all risk for your use.
>>
>>
>>
>> "JP" wrote in message news:
>> > He leido en un articulo lo siguiente:
>> >
>> > Se acaban de descubrir dos nuevos bugs en Internet Explorer que podrían ser
>> > aprovechados para engañar al usuario de forma que descargue archivos
>> > ejecutables malignos, haciéndose pasar por simples archivos html.
>> >
>> > El primer bug permite burlar una característica del Service Pack 2 que avisa
>> > al usuario cuando se abren archivos con extensiones potencialmente
>> > peligrosas. El bug consiste en que si el archivo a descargar se manda con
>> > determinada cabecera HTTP, en ciertas situaciones el navegador no avisará al
>> > usuario.
>> >
>> > El segundo error consiste en un fallo al usar la función de Javascript
>> > "execCommand()", que puede aprovecharse para utilizar un diálogo de descarga
>> > del tipo "Guardar documento HTML" a la hora de guardar el documento en el pc
>> > del usuario, y que permite ocultar la verdadera extensión del archivo.
>> >
>> > Evidentemente, para que el ataque tuviera éxito el usuario debería tener
>> > activada la opción de ocultar extensiones conocidas (activada por defecto)
>> > por lo que la vulnerabilidad solo se ha calificado como "Moderadamente
>> > crítica".
>> >
>> > Por el momento Microsoft no ha publicado ningún parche, por lo que se
>> > recomienda desactivar Active Scripting y la opción de ocultar las extensiones
>> > para los tipos de archivo conocidos.
>> >
>> > Pues bien, para cuando ese parche ?
>> >
>> > Gracias a todos
>> >
>>

Respuesta Responder a este mensaje
#7 JM Tella Llop [MVP Windows]
19/11/2004 - 20:55 | Informe spam
Secunia es mas seria que la anterior.
Pero insisto: acusar sin prueba de concepto.. no es serio.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"JP" wrote in message news:
La prueba de concepto no tengo ni idea, porque no se lo que es ,ya que soy un
usuario ,no un tecnico de sistemas, si supiera la respuesta no hubiese
publicado en los foros lo que he visto en otra pagina, que creo, que puede
ser seria, aunque si eso no es asi, con solo decirmelo, ya basta. Y si la
pagina no es seria, puedes ponerles un aviso que para eso tienen los links,
se publica en la pagina :

http://secunia.com/advisories/13203/

Gracias por todo de nuevo.


"JM Tella Llop [MVP Windows]" escribió:

¿donde se publica la prueba de concepto?

cualquier pagina seria, ante algo de estas caractristicas publica su referencia y la prueba de concepto.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no rights.
You assume all risk for your use.



"JP" wrote in message news:
> esa informacion la he encontrado en la siguiente dirección:
>
> http://www.mozillaes.org/
>
> Si no es cierto, rogaria que me lo indicara, muchas gracias por todo
>
>
> "JM Tella Llop [MVP Windows]" escribió:
>
>> ¿donde está es informacion? ¿y la prueba de concepto?
>>
>> Jose Manuel Tella Llop
>> MVP - Windows
>> (quitar XXX)
>> http://www.multingles.net/jmt.htm
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no rights.
>> You assume all risk for your use.
>>
>>
>>
>> "JP" wrote in message news:
>> > He leido en un articulo lo siguiente:
>> >
>> > Se acaban de descubrir dos nuevos bugs en Internet Explorer que podrían ser
>> > aprovechados para engañar al usuario de forma que descargue archivos
>> > ejecutables malignos, haciéndose pasar por simples archivos html.
>> >
>> > El primer bug permite burlar una característica del Service Pack 2 que avisa
>> > al usuario cuando se abren archivos con extensiones potencialmente
>> > peligrosas. El bug consiste en que si el archivo a descargar se manda con
>> > determinada cabecera HTTP, en ciertas situaciones el navegador no avisará al
>> > usuario.
>> >
>> > El segundo error consiste en un fallo al usar la función de Javascript
>> > "execCommand()", que puede aprovecharse para utilizar un diálogo de descarga
>> > del tipo "Guardar documento HTML" a la hora de guardar el documento en el pc
>> > del usuario, y que permite ocultar la verdadera extensión del archivo.
>> >
>> > Evidentemente, para que el ataque tuviera éxito el usuario debería tener
>> > activada la opción de ocultar extensiones conocidas (activada por defecto)
>> > por lo que la vulnerabilidad solo se ha calificado como "Moderadamente
>> > crítica".
>> >
>> > Por el momento Microsoft no ha publicado ningún parche, por lo que se
>> > recomienda desactivar Active Scripting y la opción de ocultar las extensiones
>> > para los tipos de archivo conocidos.
>> >
>> > Pues bien, para cuando ese parche ?
>> >
>> > Gracias a todos
>> >
>>

email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida