Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer

SeguridadVirus

Se publica una actualización para Explorer en sus versiones 5.01, 5.5 y
6.0. y elimina tres nuevas vulnerabilidades entre las que se incluye la
ya famosa de falsificación de URLs.

Con este parche Microsoft rompe su norma de publicar las actualizaciones

el segundo martes de cada mes, lo cual indica la gravedad que los

problemas corregidos suponen para la propia Microsoft.

El primero

de los problemas corregidos es la conocida vulnerabilidad de ocultación

y falsificación de URLs, utilizada en los últimos tiempos en varias

estafas de banca online como el caso del Banco Popular que ya

denunciamos en este servicio y del cual demostramos su importancia en

varios test que evidenciaban la gravedad del problema.

La

vulnerabilidad estaba relacionada con el tratamiento incorrecto de URLs

que contienen caracteres especiales. Cuando se combinaba con una forma

de autenticación básica de la forma usuario:contraseña@ al comienzo de

la URL, un atacante podía lograr construir un enlace de forma que al

seleccionarlo el usuario visualizara una URL concreta en la barra de

direcciones de Internet Explorer, cuando en realidad se visitaba un

sitio web diferente.

Para demostrar la gravedad e implicaciones

de este problema Hispasec elaboró la siguiente página web con varios

enlaces que demostraban la vulnerabilidad:

http://www.hispasec.com/directorio/laboratorio/Software/tests/falsificaciondeurl.html

La segunda vulnerabilidad está relacionada con el modelo de

seguridad de dominios cruzados de Internet Explorer que evita que

ventanas de diferentes dominios intercambien información. Esta

vulnerabilidad podía llegar a permitir la ejecución de scripts en la

zona de seguridad local.

La última de las vulnerabilidades

corregidas hace relación a la operación de arrastrar y soltar durante

eventos de dynamic HTML (DHTML) en Internet Explorer. Esta

vulnerabilidad puede permitir que se grabe un archivo en el sistema del

usuario si este llega a pulsar en un enlace. Al usuario no se le

presentará ningún cuadro de dialogo para aprobar la descarga.

Al corregir la vulnerabilidad de falsificación de URLs esta actualización de

Internet Explorer también introduce cambios en la funcionalidad de

Autenticación Básica del navegador. El parche elimina el soporte para

tratar nombres de usuario y contraseñas en direcciones HTTP y HTTP con

Secure Sockets Layer (SSL) o HTTPS. Esto quiere decir que no se soporta

la siguiente sintaxis:

http(s)://nombre_de_usuario:contraseña@servidor

Sobre este

asunto Microsoft ha publicado un artículo en su base de conocimientos y

como solventar los problemas que este cambio de comportamiento pueda

ocasionar a desarrolladores de aplicaciones y sitios web.

http://support.microsoft.com/default.aspx?scid=kb;[LN];834489

Las actualizaciones publicadas se pueden descargar desde las siguientes

direcciones:

Internet Explorer 6 Service Pack 1

Internet Explorer 6 Service Pack 1 (64-Bit Edition)

Internet Explorer 6 para Windows Server 2003

Internet Explorer 6 para Windows Server 2003 (64-Bit Edition)

Internet Explorer 6

Internet Explorer 5.5 Service Pack 2

Internet Explorer 5.01 Service Pack 4

Internet Explorer 5.01 Service Pack 3

Internet Explorer 5.01 Service Pack 2