Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
14/02/2011
MHTML és un protocol per a incrustar recursos MIME, en una pàgina web, de la manera que ho fa el correu electrònic.
La vulnerabilitat va ser publicada en un webzine xinés anomenat Ph4nt0m i en la coneguda llista Full Disclosure, per un grup denominat 80vul.
L'error resideix en la forma en què MHTML filtra les cadenes usades per a construir un enllaç. Un atacant podria crear un enllaç especialment manipulat i injectar codi javascript que acabaria executant-se durant tota la sessió de navegació.
Encara que podria associar-se erròniament, la vulnerabilitat no es troba en el navegador Internet Explorer (tot I que és el vector més apropiat). MHTML és un manejador de protocol del sistema operatiu Windows, que s’ofereix a les aplicacions que vullguen processar aquest tipus de recursos.
Microsoft ha reconegut la vulnerabilitat i ha publicat un butlletí amb informació amb suggeriments i una solució temporal aplicable a través de Microsoft Fix It, fins a la publicació del pedaç final.
La vulnerabilitat té assignada el CVE-2011-0096 i afecta tota la família de sistemes operatius Windows suportats per Microsoft.
Podeu obtindre més informació, sobre aquesta vulnerabilitat, en els enllaços següents:
http://www.microsoft.com/technet/security/advisory/2501696.mspx
http://secunia.com/advisories/43093/
http://www.vupen.com/english/advisories/2011/0242
http://www.itespresso.es/microsoft-advierte-de-un-nuevo-fallo-dia-cero-en-windows-49254.html
http://www.csospain.es/Microsoft-alerta-de-un-nuevo-agujero-de-dia-cero-en-Windows/seccion-actualidad/noticia-105547