Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Microsoft Internet Explorer Datos del portapapeles accesibles.

02/09/2005 - 15:27 por 1x4x9 | Informe spam
Ayuda Hacer una pregunta
Comentario: Existe una prueba de concepto (final del articulo) solo
para Microsoft Internet Explorer (MS-IE), y como configurar el MS-IE
para evitarlo.



Datos del portapapeles accesibles desde Internet Explorer
http://www.hispasec.com/unaaldia/2504


Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2504/comentar

Más Información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/a.../gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097

Bernardo Quintero
email Siga el debateRespuesta 30 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#26 JM Tella Llop [MVP Windows]
08/09/2005 - 19:00 | Informe spam
También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer



Efectivamente no exoste (verificado). Pero es por configuracion por defecto
del IE (no porque no tenga la opcion... que la tiene. Pero si tocas las
configuraciones de seguridad del W2003... se pone como un poco histerico).

En el W2003, no se supone que vaya a ser usado para navegar... y a cualquier
pagina que vayas casi te obliga a meterla en sitios de confianza es
pesado para esto, pero es logico: no es un sistema de navegacion.

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.



"Daniel Sanz" wrote in message
news:
Documentado desde 2004:
http://support.microsoft.com/defaul...-us;224993



Nadie discute que no sea algo antiguo. Los de hispasec decían en la
noticia que estaba documentado desde el 2002, metieron una referencia a
un aviso de greymagic.com donde es cierto que se documenta el uso de
clipboarData desde una perspectiva "maligna".

Efectos que puede tener, depende de a`plicacione,s ya que es una
"feature" no una vulberabilidad o un bug. Por ejemplo (perdo tienes
cientos de aplicaciones que lo necesitan):
http://msdn.microsoft.com/msdnmag/i...fault.aspx



Son cosas diferentes, no se deben mezclar conceptos.

Ahí habla de la gestión remota del portapapeles, que es distinto a la
posibilidad de que un script de forma automática lo gestione desde
Internet Explorer.

Un ejemplo sencillo es el siguiente. Desactiva en Internet Explorer el
tema de los scripts y el portapapeles. A continuación conectate de
forma remota a un sistema Windows (terminal services o similar), copia
algún texto en el portapapeles del sistema remoto, y pégalo en el
sistema local. Comprobarás que el copy&paste funciona en remoto, pese
a tener desactivada la opción en Internet Explorer.

Que es una funcionalidad tampoco nadie lo discute. Creo que lo que se
debe es valorar los pros y los contras de esa funcionalidad para
decidir si debe o no estar activada por defecto.

Aun no he encontrado ninguna página en Internet que utilice esa
funcionalidad (quitando las demos de robo del portapapeles), aunque
supongo que alguna habrá (si alguien encuentra alguna que por favor lo
comente).

También deberíamos tener en cuenta que comentan (no lo he podido
probar) que en Windows 2003 este potencial problema (o como se quiera
llamar), no existe, porque por defecto es más segura la configuración
de Internet Explorer.

Si eso se confirma, parecería claro que Microsoft, en el caso de
Windows 2003, decidió que era mejor tenerla desactivada.

Bye,
Dani
Respuesta Responder a este mensaje
#27 Daniel Sanz
08/09/2005 - 22:03 | Informe spam
En el W2003, no se supone que vaya a ser usado para navegar... y a
cualquier pagina que vayas casi te obliga a meterla en sitios de
confianza es pesado para esto, pero es logico: no es un sistema de
navegacion.



Internet Explorer es para navegar, de manera independiente a la
plataforma.

De acuerdo en que no es lo más normal tener un W2003 en una estación
de trabajo, ni ponerte a visitar páginas por gusto en un W2003. Pero
eso mismo se podría aplicar a un Windows 2000 Advanced Server y sin
embargo ahí no cuidaron tanto la seguridad de la configuración del
Internet Explorer.

Lo que creo es que en el caso de Windows 2003 Microsoft tenía la
seguridad como una de las prioridades, y por eso se está mostrando
mucho más robusto ante vulnerabilidades como en los casos de
funcionalidades que pueden ser aprovechadas de forma "maligna" por
teceros.

Microsoft puede hacer las cosas bien, lo anterior es un ejemplo, pero
también debemos ser conscientes (ellos lo son) de que tiene mucho que
corregir, como todo el mundo. En el camino harán cosas bien y otras no
tan bien, y tan importante es aplaudir las primeras como hacer
hincapié en las segundas. Particularmente me parece tan negativa la
crítica sin argumentos como la defensa a toda costa plagada de errores
(reflexión en voz alta, no dirigida a nadie, por favor no personalizar
ni malinterpretar).

Hasta otra,
Dani
Respuesta Responder a este mensaje
#28 Daniel Sanz
08/09/2005 - 22:03 | Informe spam
En el W2003, no se supone que vaya a ser usado para navegar... y a
cualquier pagina que vayas casi te obliga a meterla en sitios de
confianza es pesado para esto, pero es logico: no es un sistema de
navegacion.



Internet Explorer es para navegar, de manera independiente a la
plataforma.

De acuerdo en que no es lo más normal tener un W2003 en una estación
de trabajo, ni ponerte a visitar páginas por gusto en un W2003. Pero
eso mismo se podría aplicar a un Windows 2000 Advanced Server y sin
embargo ahí no cuidaron tanto la seguridad de la configuración del
Internet Explorer.

Lo que creo es que en el caso de Windows 2003 Microsoft tenía la
seguridad como una de las prioridades, y por eso se está mostrando
mucho más robusto ante vulnerabilidades como en los casos de
funcionalidades que pueden ser aprovechadas de forma "maligna" por
teceros.

Microsoft puede hacer las cosas bien, lo anterior es un ejemplo, pero
también debemos ser conscientes (ellos lo son) de que tiene mucho que
corregir, como todo el mundo. En el camino harán cosas bien y otras no
tan bien, y tan importante es aplaudir las primeras como hacer
hincapié en las segundas. Particularmente me parece tan negativa la
crítica sin argumentos como la defensa a toda costa plagada de errores
(reflexión en voz alta, no dirigida a nadie, por favor no personalizar
ni malinterpretar).

Hasta otra,
Dani
Respuesta Responder a este mensaje
#29 Rodolfo Parrado Gutiérrez [MVP Windows]
09/09/2005 - 19:35 | Informe spam
Si lo raro es navegar en internet con un servidor que sea domain controller mas encima, asi sea NT, 2000 o 2003...

-
Rodolfo Parrado Gutiérrez
Usuario 1019070 Beta De Vista Y Longhorn Server
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Daniel Sanz" escribió en el mensaje news:
En el W2003, no se supone que vaya a ser usado para navegar... y a
cualquier pagina que vayas casi te obliga a meterla en sitios de
confianza es pesado para esto, pero es logico: no es un sistema de
navegacion.



Internet Explorer es para navegar, de manera independiente a la
plataforma.

De acuerdo en que no es lo más normal tener un W2003 en una estación
de trabajo, ni ponerte a visitar páginas por gusto en un W2003. Pero
eso mismo se podría aplicar a un Windows 2000 Advanced Server y sin
embargo ahí no cuidaron tanto la seguridad de la configuración del
Internet Explorer.

Lo que creo es que en el caso de Windows 2003 Microsoft tenía la
seguridad como una de las prioridades, y por eso se está mostrando
mucho más robusto ante vulnerabilidades como en los casos de
funcionalidades que pueden ser aprovechadas de forma "maligna" por
teceros.

Microsoft puede hacer las cosas bien, lo anterior es un ejemplo, pero
también debemos ser conscientes (ellos lo son) de que tiene mucho que
corregir, como todo el mundo. En el camino harán cosas bien y otras no
tan bien, y tan importante es aplaudir las primeras como hacer
hincapié en las segundas. Particularmente me parece tan negativa la
crítica sin argumentos como la defensa a toda costa plagada de errores
(reflexión en voz alta, no dirigida a nadie, por favor no personalizar
ni malinterpretar).

Hasta otra,
Dani
Respuesta Responder a este mensaje
#30 Rodolfo Parrado Gutiérrez [MVP Windows]
09/09/2005 - 19:35 | Informe spam
Si lo raro es navegar en internet con un servidor que sea domain controller mas encima, asi sea NT, 2000 o 2003...

-
Rodolfo Parrado Gutiérrez
Usuario 1019070 Beta De Vista Y Longhorn Server
http://tinyurl.com/6bvzu
Bogotá - Colombia
-
MVP Windows Server
MCT, MCSE, MCSA, MCDST, MCP+I
-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
-
Asegúrese de buscar desde el enlace sobre lo que esta preguntando, ya que muchas veces la pregunta ya fue respondida más de una vez
http://groups.google.com/groups?hl=....public.es
-

"Daniel Sanz" escribió en el mensaje news:
En el W2003, no se supone que vaya a ser usado para navegar... y a
cualquier pagina que vayas casi te obliga a meterla en sitios de
confianza es pesado para esto, pero es logico: no es un sistema de
navegacion.



Internet Explorer es para navegar, de manera independiente a la
plataforma.

De acuerdo en que no es lo más normal tener un W2003 en una estación
de trabajo, ni ponerte a visitar páginas por gusto en un W2003. Pero
eso mismo se podría aplicar a un Windows 2000 Advanced Server y sin
embargo ahí no cuidaron tanto la seguridad de la configuración del
Internet Explorer.

Lo que creo es que en el caso de Windows 2003 Microsoft tenía la
seguridad como una de las prioridades, y por eso se está mostrando
mucho más robusto ante vulnerabilidades como en los casos de
funcionalidades que pueden ser aprovechadas de forma "maligna" por
teceros.

Microsoft puede hacer las cosas bien, lo anterior es un ejemplo, pero
también debemos ser conscientes (ellos lo son) de que tiene mucho que
corregir, como todo el mundo. En el camino harán cosas bien y otras no
tan bien, y tan importante es aplaudir las primeras como hacer
hincapié en las segundas. Particularmente me parece tan negativa la
crítica sin argumentos como la defensa a toda costa plagada de errores
(reflexión en voz alta, no dirigida a nadie, por favor no personalizar
ni malinterpretar).

Hasta otra,
Dani
email Siga el debate Respuesta Responder a este mensaje
Ads by Google
Help Hacer una pregunta AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida