Derecho informáticos derecho nuevas tecnologías
artículos estafas fraudes Servicio legal derecho informático nuevas tecnologías asesoría problemas legislación
Derecho informáticos derecho nuevas tecnologías
Derecho informáticos derecho nuevas tecnologías
 Artículos de Actualidad
  • Agujero de seguridad en audiogalaxy [08-12-01]  


    Audiogalaxy es un popular sistema de intercambio de archivos musicales, semejante al desaparecido Napster. Una característica de este programa, en combinación con otra vulnerabilidad anterior de Internet Explorer, puede permitir a cualquier usuario la ejecución de código malicioso en cualquier sistema con este programa en funcionamiento.

    El problema reside en que Audiogalaxy almacena el nombre de usuario y
    password administrativa en texto plano en una cookie.

    Las cookies generadas por Audiogalaxy tienen el siguiente formato:

    cookieUsername
    NOMBRE DE USUARIO
    audiogalaxy.com/
    0
    367281152
    29529638
    3457234544
    29456211
    *
    cookiePassword
    PASSWORD EN TEXTO PLANO
    audiogalaxy.com

    En principio esto no podría suponer un gran problema, si las cookies se trataran como es debido. Pero este fallo en combinación con el problema de acceso remoto a las cookies recientemente descubierto puede permitir a cualquier usuario remoto conocer el nombre de usuario y password de cualquier usuario de Audiogalaxy.

    Al atacante le bastaría con esconder un troyano o cualquier programa similar con formato mp3 y hacer que el usuario lo descargue sin su conocimiento. Posteriormente al tratar de reproducir el falso mp3, este se ejecutaría provocando la acción dañina para la que estuviera
    programado.

    Una prueba del problema del acceso a las cookies puede llevarse a cabo
    mediante una URL construida de la siguiente forma:
    about://www.audiogalaxy.com/

    Adudiogalaxy no ha anunciado ningún cambio en su sistema de
    almacenamiento de cookies, así que la solución para evitar este problema pasa por instalar el parche de seguridad publicado por Microsoft en http://www.microsoft.com/windows/ie/downloads/critical/q312461/default.asp

    Si bien, cualquier otra forma de acceso a las cookies, como vulnerabilidades de cross-site scripting o similares seguirán siendo igual de válidad para explotar este problema.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldiacom.asp?id=1137

    Más información:

    una-al-dia (11/11/2001) Posibilidad de acceso remoto a datos de las
    cookies
    http://www.hispasec.com/unaaldia.asp?id=1113

    Securityfocus. Audiogalaxy Plaintext Password Storage Vulnerability
    http://www.securityfocus.com/bid/3587

    Bugtraq
    http://www.securityfocus.com/archive/1/242661


    Antonio Ropero
    antonior@hispasec.com




    Artículos de actualidad ...
    Archivo de artículos ...
    •  
    Campaña Stop Pedofilia
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo:




    www.delitosinformaticos.com . mailto:webmaster@delitosinformaticos.com . Delitosinformáticos

    © Copyright 2000-2002 Delitosinformaticos.com -.