TECNO-MODEXTREME

lunes, diciembre 05, 2005

Nuevo fallo de diseño en Explorer facilita el robo de información privada

Matan Gillon acaba de publicar una nueva vulnerabilidad en el modo en que Internet Explorer maneja la interacción cruzada entre dominios.

En condiciones normales los navegadores intentan mantener esa interacción a raya, de modo que la página que el usuario visita no pueda obtener información de otra página situada en un dominio distinto, ni manipular sus elementos, ni ejecutar acciones en ella. Sin embargo, un fallo en la importación de hojas de estilo CSS (utilizadas por casi todos los sitios web para controlar su aspecto) en Internet Explorer, permite a una página web maliciosa obtener información desde otras páginas o ejecutar acciones en nombre del usuario.

Según afirma Gillon, "Miles de sitios web pueden ser explotados y no hay ninguna solución sencilla mientras Internet Explorer no sea arreglado."...

A modo de demostración, el autor ha habilitado una página desde la que asegura poder obtener información privada del usuario, si éste tiene instalado Google Desktop.

El fallo afecta a Microsoft Internet Explorer 6 con todos los parches al día y en su configuración por defecto, pero es muy probable que afecte también a versiones anteriores.

Microsoft ha reconocido el problema y podría emitir pronto un comunicado. Un portavoz de Google ha manifestado que el problema es de Explorer, no de Google.
Mientras no exista parche, la solución pasa por desactivar JavaScript en Explorer o utilizar otro navegador (Opera y Firefox no son vulnerables).

Más información en IE Design Flaw Lets Hacker Crack Google Desktop

(fuente:http://www.kriptopolis.org/node/1530)