Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Microsoft Internet Explorer Datos del portapapeles accesibles.

02/09/2005 - 15:27 por 1x4x9 | Informe spam
Ayuda Hacer una pregunta
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
email Siga el debateRespuesta 30 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#21 JM Tella Llop [MVP Windows]
07/09/2005 - 14:39 | Informe spam
Revisate esto.

Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Parece que no.

He hecho un par de pruebas con un archivo de texto, una arrastrando y
pegando en un formulario web, otra en un ftp, y en ambos casos le da
igual que esté la funcionalidad del portapapeles activada o
desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
#22 JM Tella Llop [MVP Windows]
07/09/2005 - 14:39 | Informe spam
Revisate esto.

Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Parece que no.

He hecho un par de pruebas con un archivo de texto, una arrastrando y
pegando en un formulario web, otra en un ftp, y en ambos casos le da
igual que esté la funcionalidad del portapapeles activada o
desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
#23 Daniel Sanz
08/09/2005 - 18:43 | Informe spam
Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993



Nadie discute que no sea algo antiguo. Los de hispasec decían en la
noticia que estaba documentado desde el 2002, metieron una referencia a
un aviso de greymagic.com donde es cierto que se documenta el uso de
clipboarData desde una perspectiva "maligna".

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx



Son cosas diferentes, no se deben mezclar conceptos.

Ahí habla de la gestión remota del portapapeles, que es distinto a la
posibilidad de que un script de forma automática lo gestione desde
Internet Explorer.

Un ejemplo sencillo es el siguiente. Desactiva en Internet Explorer el
tema de los scripts y el portapapeles. A continuación conectate de
forma remota a un sistema Windows (terminal services o similar), copia
algún texto en el portapapeles del sistema remoto, y pégalo en el
sistema local. Comprobarás que el copy&paste funciona en remoto, pese
a tener desactivada la opción en Internet Explorer.

Que es una funcionalidad tampoco nadie lo discute. Creo que lo que se
debe es valorar los pros y los contras de esa funcionalidad para
decidir si debe o no estar activada por defecto.

Aun no he encontrado ninguna página en Internet que utilice esa
funcionalidad (quitando las demos de robo del portapapeles), aunque
supongo que alguna habrá (si alguien encuentra alguna que por favor lo
comente).

También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer.

Si eso se confirma, parecería claro que Microsoft, en el caso de
Windows 2003, decidió que era mejor tenerla desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
#24 Daniel Sanz
08/09/2005 - 18:43 | Informe spam
Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993



Nadie discute que no sea algo antiguo. Los de hispasec decían en la
noticia que estaba documentado desde el 2002, metieron una referencia a
un aviso de greymagic.com donde es cierto que se documenta el uso de
clipboarData desde una perspectiva "maligna".

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx



Son cosas diferentes, no se deben mezclar conceptos.

Ahí habla de la gestión remota del portapapeles, que es distinto a la
posibilidad de que un script de forma automática lo gestione desde
Internet Explorer.

Un ejemplo sencillo es el siguiente. Desactiva en Internet Explorer el
tema de los scripts y el portapapeles. A continuación conectate de
forma remota a un sistema Windows (terminal services o similar), copia
algún texto en el portapapeles del sistema remoto, y pégalo en el
sistema local. Comprobarás que el copy&paste funciona en remoto, pese
a tener desactivada la opción en Internet Explorer.

Que es una funcionalidad tampoco nadie lo discute. Creo que lo que se
debe es valorar los pros y los contras de esa funcionalidad para
decidir si debe o no estar activada por defecto.

Aun no he encontrado ninguna página en Internet que utilice esa
funcionalidad (quitando las demos de robo del portapapeles), aunque
supongo que alguna habrá (si alguien encuentra alguna que por favor lo
comente).

También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer.

Si eso se confirma, parecería claro que Microsoft, en el caso de
Windows 2003, decidió que era mejor tenerla desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
#25 JM Tella Llop [MVP Windows]
08/09/2005 - 19:00 | Informe spam
También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer



Efectivamente no exoste (verificado). Pero es por configuracion por defecto
del IE (no porque no tenga la opcion... que la tiene. Pero si tocas las
configuraciones de seguridad del W2003... se pone como un poco histerico).

En el W2003, no se supone que vaya a ser usado para navegar... y a cualquier
pagina que vayas casi te obliga a meterla en sitios de confianza es
pesado para esto, pero es logico: no es un sistema de navegacion.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993



Nadie discute que no sea algo antiguo. Los de hispasec decían en la
noticia que estaba documentado desde el 2002, metieron una referencia a
un aviso de greymagic.com donde es cierto que se documenta el uso de
clipboarData desde una perspectiva "maligna".

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx



Son cosas diferentes, no se deben mezclar conceptos.

Ahí habla de la gestión remota del portapapeles, que es distinto a la
posibilidad de que un script de forma automática lo gestione desde
Internet Explorer.

Un ejemplo sencillo es el siguiente. Desactiva en Internet Explorer el
tema de los scripts y el portapapeles. A continuación conectate de
forma remota a un sistema Windows (terminal services o similar), copia
algún texto en el portapapeles del sistema remoto, y pégalo en el
sistema local. Comprobarás que el copy&paste funciona en remoto, pese
a tener desactivada la opción en Internet Explorer.

Que es una funcionalidad tampoco nadie lo discute. Creo que lo que se
debe es valorar los pros y los contras de esa funcionalidad para
decidir si debe o no estar activada por defecto.

Aun no he encontrado ninguna página en Internet que utilice esa
funcionalidad (quitando las demos de robo del portapapeles), aunque
supongo que alguna habrá (si alguien encuentra alguna que por favor lo
comente).

También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer.

Si eso se confirma, parecería claro que Microsoft, en el caso de
Windows 2003, decidió que era mejor tenerla desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida