Posibilidad de acceso remoto a datos de las cookies
[13-11-01]
Microsoft ha informado de una vulnerabilidad existente en Internet Explorer 5.5 y 6.0 por el cual un atacante remoto puede tener acceso, con posibilidad de lectura y modificación, a las cookies almacenadas en los ordenadores de los usuarios.
Los sitios web emplean cookies como una forma de almacenar información en el ordenador del propio usuario. Generalmente la información almacenada se emplea para adaptar y retener la configuración del sitio al gusto del usuario para posteriores sesiones. Por diseño cada sitio debe mantener sus propias cookies en la máquina del usuario y sólo debe acceder a dichas cookies.
Pero se ha detectado una vulnerabilidad por la cual una URL especialmente creada y modificada puede acceder sin autorización a todas las cookies del usuario e incluso modificar su contenido. Debido a que algunas páginas web almacenan información sensible en las cookies del usuario, es perfectamente posible que dicha información quede expuesta.
Microsoft está preparando un parche para cubrir este problema, pero hasta la publicación de dicha actualización los usuarios pueden proteger sus sistemas mediante la inhabilitación de javascript (Active scripting).
El problema puede ser explotado a través de una página web o desde un e-mail html que contenga la URL específicamente construida. Para que el problema no pueda reproducirse desde un e-mail html se recomienda aplicar la actualización de seguridad para Outlook (Outlook Email Security Update). También puede protegerse mediante la configuración de Outlook para el uso de la Zona de Seguridad "Restricted Sites Zone" (en Opciones/Seguridad).
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=1113
Más información:
Boletín de seguridad de Microsoft MS01-055:
Cookie Data in IE Can Be Exposed or Altered Through Script Injection:
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp
Antonio Ropero
antonior@hispasec.com
Artículos de actualidad ...
Archivo de artículos ...
|
