miércoles, 30 de enero de 2002

Lectura del portapapeles desde Internet Explorer 5

Existe un problema en Internet Explorer 5 que puede permitir al
administrador de un sitio web malicioso acceder a la información
contenida en el portapapeles del usuario. Lo que puede dar lugar
a una divulgación de información, en algunos casos incluso datos
confidenciales.
Microsoft Internet Explorer 5 proporciona a las aplicaciones web
funciones de acceso al portapapeles. IE5 implementa un objeto,
clipboardData, que proporciona acceso a la información del portapapeles
a scripts. Este objeto se proporciona para permitir el almacenamiento
temporal de datos y manipulación del portapapeles por aplicaciones
legítimas, como facilitar las operaciones de arrastrar y soltar.

Desafortunadamente, esta posibilidad puede provocar un potencial
problema de divulgación de información sensible a un sitio web
malicioso. No se puede considerar como una vulnerabilidad, aunque sí se
trata de un comportamiento peligroso. El navegador implementa opciones
para desactivar este comportamiento, sin embargo por defecto se permiten
estas operaciones sin consultar al usuario.

Para deshabilitar esta funcionalidad se recomienda desde el menú Tools
(Herramientas) seleccionar la opción Internet Options (Opciones
Internet)/Security (Seguridad)/Select Zone (Seleccionar Zona)/Custom
Level (Personalizar Nivel). Bajo scripting (Archivos de comandos),
deshabilitar "Allow paste operations via script" (Permitir opciones de
pegado) o configurarlo para "prompt" (Pedir datos) si se desea que se
informe cuando este tipo de operaciones vaya a ser realizado.



Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Internet Explorer Clipboard Reading Vulnerability
http://www.securityfocus.com/bid/3862