Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Microsoft Internet Explorer Datos del portapapeles accesibles.

02/09/2005 - 15:27 por 1x4x9 | Informe spam
Ayuda Hacer una pregunta
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
email Siga el debateRespuesta 30 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#11 JM Tella Llop [MVP Windows]
06/09/2005 - 15:45 | Informe spam
El IE7, lo trae activado.
Pero no es el IE en si, sino la configuracion que traiga el sistema. Es
decir, el IE6 en W2003, por ejemplo lo trae desactivado.. Depende del
sistema operativo no del navegador en sí.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Configura en opciones de internet, en la parte de scripting que no permita
el copy&paste

y solucionado.



Si, esa es la solución que dieron los de hispasec, tal y como aparece
en el primer post de este hilo.

P.D.: aunque podemos estar de acuerdo en que no es funcion del usuario
final
el revisar las opciones de internettampoco está de mas el ser
cosciente
lo que quiere decir cada una.



Si, atendiendo a la política de MS sobre seguridad por defecto,
estaría bien que pusieran esa opción desactivada.

Sería interesante conocer si IE7 la traerá activada o desactivada.
¿Alguien que esté evaluando la beta lo puede probar?

Bye,
Dani
Respuesta Responder a este mensaje
#12 JM Tella Llop [MVP Windows]
06/09/2005 - 15:45 | Informe spam
El IE7, lo trae activado.
Pero no es el IE en si, sino la configuracion que traiga el sistema. Es
decir, el IE6 en W2003, por ejemplo lo trae desactivado.. Depende del
sistema operativo no del navegador en sí.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Configura en opciones de internet, en la parte de scripting que no permita
el copy&paste

y solucionado.



Si, esa es la solución que dieron los de hispasec, tal y como aparece
en el primer post de este hilo.

P.D.: aunque podemos estar de acuerdo en que no es funcion del usuario
final
el revisar las opciones de internettampoco está de mas el ser
cosciente
lo que quiere decir cada una.



Si, atendiendo a la política de MS sobre seguridad por defecto,
estaría bien que pusieran esa opción desactivada.

Sería interesante conocer si IE7 la traerá activada o desactivada.
¿Alguien que esté evaluando la beta lo puede probar?

Bye,
Dani
Respuesta Responder a este mensaje
#13 Daniel Sanz
06/09/2005 - 16:17 | Informe spam
Para subir contenidos, archivos, o cualquier otra cosa a un hosting web
no necesitas esa funcionalidad.

Por ejemplo, cualquier otro navegador no tiene esa funcionalidad y sube
las cosas a un servidor igualmente.

Esa funcionalidad únicamente sirve para poder leer/escribir en el
portapapeles automáticamente mediante un script en una página web.

Creo, y es una opinión personal (no contrastada), que esa
funcionalidad tal vez tenga algún uso más cotidiano en aplicaciones
de Intranets. En tal caso lo que creo que podría hacer Microsoft es
configurar para que esté desactivada la función en la zona de
Internet, y activarla para la zona Local intranet y sitios de
confianza.

¿Alguien en este foro tiene la beta del IE7?

Bye,
Dani
Respuesta Responder a este mensaje
#14 Daniel Sanz
06/09/2005 - 16:17 | Informe spam
Para subir contenidos, archivos, o cualquier otra cosa a un hosting web
no necesitas esa funcionalidad.

Por ejemplo, cualquier otro navegador no tiene esa funcionalidad y sube
las cosas a un servidor igualmente.

Esa funcionalidad únicamente sirve para poder leer/escribir en el
portapapeles automáticamente mediante un script en una página web.

Creo, y es una opinión personal (no contrastada), que esa
funcionalidad tal vez tenga algún uso más cotidiano en aplicaciones
de Intranets. En tal caso lo que creo que podría hacer Microsoft es
configurar para que esté desactivada la función en la zona de
Internet, y activarla para la zona Local intranet y sitios de
confianza.

¿Alguien en este foro tiene la beta del IE7?

Bye,
Dani
Respuesta Responder a este mensaje
#15 JM Tella Llop [MVP Windows]
06/09/2005 - 16:21 | Informe spam
Para subirarrastrando y pegando. (si no la tienes activada, no te lo
hace-creo recordar- Pruebalo...)

Y yo soy tester del IE7. te he respondido debajo

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Para subir contenidos, archivos, o cualquier otra cosa a un hosting web
no necesitas esa funcionalidad.

Por ejemplo, cualquier otro navegador no tiene esa funcionalidad y sube
las cosas a un servidor igualmente.

Esa funcionalidad únicamente sirve para poder leer/escribir en el
portapapeles automáticamente mediante un script en una página web.

Creo, y es una opinión personal (no contrastada), que esa
funcionalidad tal vez tenga algún uso más cotidiano en aplicaciones
de Intranets. En tal caso lo que creo que podría hacer Microsoft es
configurar para que esté desactivada la función en la zona de
Internet, y activarla para la zona Local intranet y sitios de
confianza.

¿Alguien en este foro tiene la beta del IE7?

Bye,
Dani
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida