Un atacante podría construir una web con distintos frames para leer
información de otros sitios, por ejemplo la contraseña que utilizamos
para acceder a nuestra cuenta bancaria por Internet o la tarjeta de
crédito con la que compramos. Por último, haciendo referencia a las
unidades locales, también podría leer los archivos del sistema de
la víctima.
La vulnerabilidad permite que desde un frame se puedan leer los
datos contenidos en un segundo frame correspondiente a otro sitio
o dominio. El ataque podría ser llevado a cabo desde una página
web o un e-mail con formato HTML. El problema se encuentra en el
lenguaje de Microsoft Visual Basic Script (VBS) interpretado por
Internet Explorer, no es posible por ejemplo aprovechar la
vulnerabilidad programando con JavaScript.
Los usuarios afectados deberán instalar el parche correspondiente
al lenguaje de su versión Windows, disponible desde la siguiente
dirección:
http://www.microsoft.com/windows/ie/downloads/critical/q318089/default.asp
bernardo@hispasec.com
Más información:
Incorrect VBScript Handling in IE can Allow Web Pages to Read Local Files
http://www.microsoft.com/technet/security/bulletin/MS02-009.asp
Deja un comentario