Falsificación de pantalla en Internet Explorer

Georgi Guninski vuelve a publicar un aviso en relación al popular
navegador de Internet de Microsoft, el Internet Explorer en sus
versiones 5.5 y 6.0. El problema hace relación a la posibilidad de que
una página web con javascript falsee el contenido de la pantalla
modificando sus contenidos.
Aunque como el mismo aclara no se trata de una vulnerabilidad por si
misma, este problema tiene unas implicaciones en relación a la seguridad
bastante importantes. Es posible que una página web con javascript tome
el control del contenido de la propia pantalla, esto incluye menús,
cuadros de diálogo modales, barra de tareas, reloj, etc.

Esto puede permitir falsear los contenidos de la pantalla, incluso los
mensajes modales de Internet Explorer. Un ejemplo en el que se
demuestran las connotaciones de seguridad que puede tener es que un
diálogo típico de Internet Explorer, como «Va a descargar el archivo
virus.exe de la dirección http://www.notefies.com – Abrir – Cancelar – Más
información.», puede aparecer bajo el control del script como
«Bienvenido al nuevo sitio web – Abrir.» (y ni siquiera mostrar el botón
de cancelar, que permanecerá invisible y no se podrá pulsar). Si
engañado por el mensaje el usuario llega a pulsar sobre el botón Abrir
podrá provocar la ejecución de código malicioso.

Aunque Guninski advierte de la posibilidad de reproducir en problema en
versiones anteriores a Internet Explorer 5.5, en las pruebas realizadas
por Hispasec no hemos podido contrastar dicha posibilidad.

Para confirmar el problema Guninski ofrece dos ejemplos de las
posibilidades del problema, el movimiento de una imagen sobre un cuadro
de descarga y una emulación de pantalla azul (BSOD). Estos ejemplos
pueden comprobarse en las direcciones http://www.guninski.com/opf2.html
y http://www.guninski.com/bsod1.html.

En caso de desear evitar este tipo de problemas, la única contramedida
posible pasa por desactivar javascript («active scripting»).

Antonio Ropero
antonior@hispasec.com

Más información:

Aviso de seguridad de Guninski:
http://www.guninski.com/popspoof.html

Cookie	Duración	Descripción
cookielawinfo-checkbox-analytics	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	11 months	La cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance	11 months	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy	11 months	La cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.

Falsificación de pantalla en Internet Explorer

Publicaciones relacionadas

Una al Día

Aviso Legal

Compártelo:

Publicaciones relacionadas

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Footer

Una al Día

Aviso Legal