Hacker israelí oculta 0-day para Explorer en su blog
Enviado por admin el 7. Mayo 2008 - 23:21.
En conmemoración del 60 aniversario de la independencia de Israel, Aviv Raff ha convocado un curioso reto que él mismo denomina "La caza del tesoro".
Aviv afirma haber descubierto una nueva vulnerabilidad en Explorer 7 y 8 que permite la ejecución de código en la máquina víctima con muy escasa interacción por parte del usuario. Tras comunicar el fallo a Microsoft, Aviv, que manifiesta sentirse decepcionado por la lentitud de la respuesta del equipo de seguridad de Microsoft en ocasiones similares ("la última vez que seguí su política de revelación responsable tardaron seis meses en cambiar una simple línea de código", dice), ha decidido ocultar la prueba de concepto en su propio blog e irá suministrando pistas cada uno o dos días hasta la revelación total de los detalles, que anuncia para el próximo miércoles...
Al parecer, un intruso debería escribir unas pocas líneas de html e inducir al usuario a utilizar una característica específica de Internet Explorer. El resultado es la puesta en marcha de dos instancias de la calculadora de Windows, aunque en la práctica podría ser cualquier otro programa.
Según PC World, Microsoft no ha querido hacer comentarios.
Más sobre Aviv Raff en Kriptópolis:
increible
Lo dicho muchas otras veces usar firefox o opera pero no tocar el explorer para nadaaaaa
Hombre...
Yo ahora mismo tengo un aliciente para usar Explorer: ganar este reto :)))))
De acuerdo
yo estoy de acuerdo contigo, pero a veces el problema es, cuando menos en el trabajo es casi por fuerza utilizar explorer por la compatibilidad de las aplicaciones
Mismo problema
Me pasa lo mismo a mí. Encima el IE come bastantes más recursos, y las máquinas que tenemos son bastante "modestas".
Igual me instalé el Firefox, y uso el IETab para las aplicaciones que necesitan.
No sirve de mucho
Usar el "User Agent Switcher" junto con el "IETab", es una buena opción para ya no usar tan frecuentemente el "IExplore"
EPM
Como hacer que funcione el invento
Hola, alguién sabe como funciona el invento, o donde obtener alguna información.
Un ejemplo
A los que les interese (y sepan inglés), en The Hacker Webzine (http://0x000000.com) hay publicado la forma de escribir en el sistema de archivos de un visitante de una página, y un pequeño ejemplo para hacer pharming.
La simpleza del ataque da miedo.
http://www.0x000000.com/?i=562
Majarias... menos mal
Majarias... menos mal que en mi curro me pude cambiar a linux.... se lo enseñare a mi jefe, a ver si le convenzo...
Complementando tu informacion
Ese mismo vector de ataque y otros parecidos estan desde hace ya rato en el libro Hacking Exposed Web 2.0
idem
Wow, creo que voy a tener que iniciar windows en vmware para algo que vale la pena... (por fin)
Es una interesante forma
Es una interesante forma de captar audiencia para su blog.
Y al alcance de cualquiera...
cualquiera que sea capaz de descubrir un 0-day en una aplicacion usada por millones de personas, claro.
Opinar