miércoles, 24 de febrero de 1999

Cuartango descubre una nueva vulnerabilidad del Explorer

Juan Carlos García Cuartango nos informa de la existencia de
un nuevo agujero en el Microsoft Internet Explorer por el cual
es posible acceder desde una página web al contenido del
portapapeles.
Hace un mes (http://www.hispasec.com/unaaldia.asp?id=88),
Cuartango descubrió una vulnerabilidad en el Microsoft
Internet Explorer por la que se demostraba que el contenido
del portapapeles era totalmente accesible a través de
Internet. En aquella ocasión el agujero venía dado por el
uso del objeto ActiveX TexBox de Microsoft Forms 2.0.

En esta ocasión Cuartango informa de un problema similar, pero
mucho más general. En la ocasión anterior era necesario tener
instalado Microsoft Office 97, Microsot Outlook 98, Microsoft
Project 98 o Microsoft Visual Basic 5.0 para verse afectado
por el problema, mientras que a través de este nuevo
descubrimiento cualquier usuario de Explorer está afectado.

El problema afecta tanto al navegador como al lector de correo,
por lo que según Cuartango, en conversación con HispaSec, «el
contenido del portapapeles puede ser "visto" por una página
web o por un correo electrónico con formato html. En ambos
casos la vulnerabilidad se manifiesta a través de unas cuantas
líneas de instrucciones JavaScript.».

Para llevar a cabo la captura del portapapeles, se emplea el
control Microsoft Web Browser ActiveX y a través de este objeto
se realiza la acción de pegado. Como podemos comprobar en la
página de Cuartango (http://pages.whowhere.com/computers/cuartangojc/cb.html)
el script es realmente sencillo y se realiza a través de 10
líneas.

El propio Cuartango se puso en contacto con Microsoft la cual
«ha confirmado el problema que será arreglado por un nuevo
"Service Pack" para el Internet Explorer 4 de próxima aparición».

En HispaSec hemos podido comprobar que este error afecta a las
versiones 4.0 de Internet Explorer, sin poder reproducirlo con
betas de Internet Explorer 5.0.

Más información:
http://pages.whowhere.com/computers/cuartangojc/cb.html


Antonio Ropero