Ocultamiento de extensión al guardar imágenes en IE

¡Hey, hey!... que copia y pegar también tiene su trabajo... ¿tú sabes la de
neuronas que hacen falta?

"ðº°~¨Jessica Fisherman¨~°ºð" escribió en el mensaje
news:
juas,
a este personaje le vas a preguntar algo de windows? si no sabe ni leer y
menos instalar uno.


saludos

JessFi
jessfi at mtv dot es


"bran" escribió en el mensaje
news:
> ¿Dóde puedo encontrara la opción "Secuencias de comandos Active X" (Active
> Scripting) para deshabilitarla?
> UN SALUDO
>
> "" escribió:
>
>> Ocultamiento de extensión al guardar imágenes en IE
>> http://www.vsantivirus.com/vul-ie-s...261104.htm
>>
>> Secunia reporta una vulnerabilidad en el Internet Explorer, hecha
>> pública por "cyber flash". El fallo podría ser explotado para engañar
>> a usuarios incautos, a los efectos que descarguen archivos
>> potencialmente peligrosos.
>>
>> La vulnerabilidad se produce por la forma que el IE utiliza la
>> extensión del archivo indicado en el URL de una página web, cuando
>> graba imágenes con la opción "Guardar imagen como...", eliminando la
>> última extensión si existen archivos con múltiples extensiones. Esto
>> puede ser explotado por un sitio web malicioso para que una imagen con
>> un script empotrado en ella, pueda ser grabada en el disco con una
>> extensión de archivo arbitraria.
>>
>> Por ejemplo, un usuario podría descargar un archivo .HTA enmascarado
>> en una imagen válida (esta extensión representa archivos en un formato
>> binario propietario de Microsoft, conteniendo código HTML estándar).
>>
>> Debe tenerse en cuenta que la explotación requiere que la opción
>> "Ocultar las extensiones de archivos para tipos de archivo conocidos"
>> esté habilitada (lo está por defecto). Además, se debe convencer al
>> usuario para que guarde en su equipo una imagen visualizada en su
>> navegador, y que luego intente abrir esa imagen con un doble clic en
>> el archivo.
>>
>> NOTA 1: Este problema está documentado en la base de conocimiento de
>> Microsoft (ver http://support.microsoft.com/kb/250747), con fecha 5 de
>> diciembre de 2003. Allí se explica que al guardar una imagen en
>> Microsoft Internet Explorer, haciendo clic en "Guardar imagen
>> como...", la extensión del nombre de archivo no se muestra cuando se
>> guarda el archivo, si en el nombre existen varios períodos (puntos).
>>
>> Esta vulnerabilidad ha sido confirmada en sistemas con todos los
>> parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP
>> SP2.
>>
>>
>> Solución
>>
>> Deshabilitar la opción "Secuencias de comandos ActiveX" (Active
>> Scripting), y desmarcar la opción "Ocultar las extensiones de archivos
>> para tipos de archivo conocidos", desde "Mi PC", "Herramientas",
>> "Opciones de carpetas", "Ver".
>>
>>
>> NOTA 2: Una prueba de concepto (PoC) ha sido publicada y está
>> disponible en Internet.
>>
>>
>> Créditos:
>>
>> cyber flash
>>
>>
>> Otras referencias:
>>
>> Clic derecho seleccionar "Guardar imagen
>> como" no guarda imagen con extensión correcta:
>> http://support.microsoft.com/kb/250747
>>
>> Microsoft Internet Explorer
>> "Save Picture As" Image Download Spoofing
>> http://secunia.com/advisories/13317/
>>
>>
>>
>>
>> (c) Video Soft - http://www.videosoft.net.uy
>> (c) VSAntivirus - http://www.vsantivirus.com
>>

¡Hey, hey!... que copia y pegar también tiene su trabajo... ¿tú sabes la de
neuronas que hacen falta?

"ðº°~¨Jessica Fisherman¨~°ºð" escribió en el mensaje
news:
juas,
a este personaje le vas a preguntar algo de windows? si no sabe ni leer y
menos instalar uno.


saludos

JessFi
jessfi at mtv dot es


"bran" escribió en el mensaje
news:
> ¿Dóde puedo encontrara la opción "Secuencias de comandos Active X" (Active
> Scripting) para deshabilitarla?
> UN SALUDO
>
> "" escribió:
>
>> Ocultamiento de extensión al guardar imágenes en IE
>> http://www.vsantivirus.com/vul-ie-s...261104.htm
>>
>> Secunia reporta una vulnerabilidad en el Internet Explorer, hecha
>> pública por "cyber flash". El fallo podría ser explotado para engañar
>> a usuarios incautos, a los efectos que descarguen archivos
>> potencialmente peligrosos.
>>
>> La vulnerabilidad se produce por la forma que el IE utiliza la
>> extensión del archivo indicado en el URL de una página web, cuando
>> graba imágenes con la opción "Guardar imagen como...", eliminando la
>> última extensión si existen archivos con múltiples extensiones. Esto
>> puede ser explotado por un sitio web malicioso para que una imagen con
>> un script empotrado en ella, pueda ser grabada en el disco con una
>> extensión de archivo arbitraria.
>>
>> Por ejemplo, un usuario podría descargar un archivo .HTA enmascarado
>> en una imagen válida (esta extensión representa archivos en un formato
>> binario propietario de Microsoft, conteniendo código HTML estándar).
>>
>> Debe tenerse en cuenta que la explotación requiere que la opción
>> "Ocultar las extensiones de archivos para tipos de archivo conocidos"
>> esté habilitada (lo está por defecto). Además, se debe convencer al
>> usuario para que guarde en su equipo una imagen visualizada en su
>> navegador, y que luego intente abrir esa imagen con un doble clic en
>> el archivo.
>>
>> NOTA 1: Este problema está documentado en la base de conocimiento de
>> Microsoft (ver http://support.microsoft.com/kb/250747), con fecha 5 de
>> diciembre de 2003. Allí se explica que al guardar una imagen en
>> Microsoft Internet Explorer, haciendo clic en "Guardar imagen
>> como...", la extensión del nombre de archivo no se muestra cuando se
>> guarda el archivo, si en el nombre existen varios períodos (puntos).
>>
>> Esta vulnerabilidad ha sido confirmada en sistemas con todos los
>> parches instalados, y con Internet Explorer 6.0 y Microsoft Windows XP
>> SP2.
>>
>>
>> Solución
>>
>> Deshabilitar la opción "Secuencias de comandos ActiveX" (Active
>> Scripting), y desmarcar la opción "Ocultar las extensiones de archivos
>> para tipos de archivo conocidos", desde "Mi PC", "Herramientas",
>> "Opciones de carpetas", "Ver".
>>
>>
>> NOTA 2: Una prueba de concepto (PoC) ha sido publicada y está
>> disponible en Internet.
>>
>>
>> Créditos:
>>
>> cyber flash
>>
>>
>> Otras referencias:
>>
>> Clic derecho seleccionar "Guardar imagen
>> como" no guarda imagen con extensión correcta:
>> http://support.microsoft.com/kb/250747
>>
>> Microsoft Internet Explorer
>> "Save Picture As" Image Download Spoofing
>> http://secunia.com/advisories/13317/
>>
>>
>>
>>
>> (c) Video Soft - http://www.videosoft.net.uy
>> (c) VSAntivirus - http://www.vsantivirus.com
>>