Descarga y ejecución automática de archivos en Internet Explorer

Se ha detectado una vulnerabilidad en Internet Explorer 6, que puede
ser empleada para evitar las restricciones de seguridad del navegador
y comprometer el sistema.

Es posible forzar al navegador del usuario para descargar de forma
automática e instalar un programa malicioso si se condiciona a que el
usuario visualice un html malicioso con múltiples frames que referencien
a un archivo ejecutable.

Aparentemente, mediante el envío de múltiples peticiones de un archivo
pueden evitarse las restricciones de seguridad del navegador y el
archivo se descarga de forma silenciosa y se ejecuta con los
privilegios del usuario.

Hasta el momento, no se ha publicado ninguna actualización para cubrir
esta vulnerabilidad y como única contramedida se presenta el deshabilitar
la descarga de archivos desde Internet Explorer.

Más información:

Internet Explorer Automatic File Download and Execution Vulnerability
http://www.secunia.com/advisories/8807/

Microsoft Internet Explorer does not adequately handle multiple file download requests
http://www.kb.cert.org/vuls/id/251788

Acerca de Hispasec

Hispasec Ha escrito 6985 publicaciones.

• View all posts by Hispasec →
• Blog