Microsoft ha informado de una vulnerabilidad existente en Internet
Explorer 5.5 y 6.0 por el cual un atacante remoto puede tener acceso,
con posibilidad de lectura y modificación, a las cookies almacenadas
en los ordenadores de los usuarios.
Los sitios web emplean cookies como una forma de almacenar información
en el ordenador del propio usuario. Generalmente la información
almacenada se emplea para adaptar y retener la configuración del sitio
al gusto del usuario para posteriores sesiones. Por diseño cada sitio
debe mantener sus propias cookies en la máquina del usuario y sólo debe
acceder a dichas cookies.
Pero se ha detectado una vulnerabilidad por la cual una URL
especialmente creada y modificada puede acceder sin autorización a todas
las cookies del usuario e incluso modificar su contenido. Debido a que
algunas páginas web almacenan información sensible en las cookies del
usuario, es perfectamente posible que dicha información quede expuesta.
Microsoft está preparando un parche para cubrir este problema, pero
hasta la publicación de dicha actualización los usuarios pueden proteger
sus sistemas mediante la inhabilitación de javascript (Active
scripting).
El problema puede ser explotado a través de una página web o desde un
e-mail html que contenga la URL específicamente construida. Para que el
problema no pueda reproducirse desde un e-mail html se recomienda
aplicar la actualización de seguridad para Outlook (Outlook Email
Security Update). También puede protegerse mediante la configuración de
Outlook para el uso de la Zona de Seguridad «Restricted Sites Zone» (en
Opciones/Seguridad).
antonior@hispasec.com
Más información:
Boletín de seguridad de Microsoft MS01-055:
Cookie Data in IE Can Be Exposed or Altered Through Script Injection:
http://www.microsoft.com/technet/security/bulletin/ms01-055.asp
Deja un comentario