30-11-2009

Se ha publicado una vulnerabilidad que afecta al navegador Internet Explorer 8, más concretamente al filtro que alerta al usuario de un posible ataque de secuencias de comandos en sitios cruzados (XSS). El componente no funciona de la forma esperada por lo que un atacante podría realizar un ataque XSS a una página que aparezca como segura.

Sistemas afectados:

Internet Explorer 8

Riesgo:   Medio

Descripción:

Esta funcionalidad que estaba diseñada para protegernos de ataques XSS o Cross Site Scripting, que son una forma de manipular la URL del sitio para inyectar código malicioso o contenido en una página web confiable, afecta el filtrado de XSS en el IE 8, este problema conlleva la aparicion de falsos positivos -la web aparece como no confiable cuando lo es- y falsos negativos -la web aparece como confiable cuando se trata de una pagina maliciosa-.

Solución:

Hasta que aparezca una solución oficial para resolver este problema, es aconsejable la utilización de otros navegadores, que aunque no tengan esa protección, al menos no producirán situaciones de confusión en cuanto a páginas seguras y no seguras.

Más información:

http://cert.inteco.es/Actualidad/Avisos_seguridad_tecnicos/Problema_de_seguridad_en_la_proteccion_contra_ataq
http://www.securityfocus.com/news/11565
http://blogs.protegerse.com/laboratorio/?p=777
http://hackademix.net/2009/11/21/ies-xss-filter-creates-xss-vulnerabilities/
http://www.theregister.co.uk/2009/11/20/internet_explorer_security_flaw/
http://blog.segu-info.com.ar/2009/11/seria-falla-en-ie8-hace-que-sitios.html
http://www.itespresso.es/es/news/2009/11/27/fallos-explorer-8-webs-inseguras

Fuente:   Inteco-CERT http://cert.inteco.es