Hacker israelí oculta 0-day para Explorer en su blog

 

 

Enviado por admin el 7 Mayo 2008 - 10:21pm

En conmemoración del 60 aniversario de la independencia de Israel, Aviv Raff ha convocado un curioso reto que él mismo denomina "La caza del tesoro".

Aviv afirma haber descubierto una nueva vulnerabilidad en Explorer 7 y 8 que permite la ejecución de código en la máquina víctima con muy escasa interacción por parte del usuario. Tras comunicar el fallo a Microsoft, Aviv, que manifiesta sentirse decepcionado por la lentitud de la respuesta del equipo de seguridad de Microsoft en ocasiones similares ("la última vez que seguí su política de revelación responsable tardaron seis meses en cambiar una simple línea de código", dice), ha decidido ocultar la prueba de concepto en su propio blog e irá suministrando pistas cada uno o dos días hasta la revelación total de los detalles, que anuncia para el próximo miércoles...

Al parecer, un intruso debería escribir unas pocas líneas de html e inducir al usuario a utilizar una característica específica de Internet Explorer. El resultado es la puesta en marcha de dos instancias de la calculadora de Windows, aunque en la práctica podría ser cualquier otro programa.

Según PC World, Microsoft no ha querido hacer comentarios.

 

Más sobre Aviv Raff en Kriptópolis:

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
anónimo's picture

increible

Enviado por anónimo el 7 Mayo 2008 - 10:43pm.

Lo dicho muchas otras veces usar firefox o opera pero no tocar el explorer para nadaaaaa

anónimo's picture

Hombre...

Enviado por anónimo el 7 Mayo 2008 - 10:45pm.

Yo ahora mismo tengo un aliciente para usar Explorer: ganar este reto :)))))

The Master's picture

De acuerdo

Enviado por The Master el 7 Mayo 2008 - 11:18pm.

yo estoy de acuerdo contigo, pero a veces el problema es, cuando menos en el trabajo es casi por fuerza utilizar explorer por la compatibilidad de las aplicaciones

pablo.uy's picture

Mismo problema

Enviado por pablo.uy el 8 Mayo 2008 - 6:42pm.

Me pasa lo mismo a mí. Encima el IE come bastantes más recursos, y las máquinas que tenemos son bastante "modestas".

Igual me instalé el Firefox, y uso el IETab para las aplicaciones que necesitan.

anónimo's picture

No sirve de mucho

Enviado por anónimo el 8 Mayo 2008 - 8:50pm.

Usar el "User Agent Switcher" junto con el "IETab", es una buena opción para ya no usar tan frecuentemente el "IExplore"

EPM

anónimo's picture

Como hacer que funcione el invento

Enviado por anónimo el 7 Mayo 2008 - 11:03pm.

Hola, alguién sabe como funciona el invento, o donde obtener alguna información.

anónimo's picture

Un ejemplo

Enviado por anónimo el 8 Mayo 2008 - 12:23am.

A los que les interese (y sepan inglés), en The Hacker Webzine (http://0x000000.com) hay publicado la forma de escribir en el sistema de archivos de un visitante de una página, y un pequeño ejemplo para hacer pharming.

La simpleza del ataque da miedo.

http://www.0x000000.com/?i=562

anónimo's picture

Majarias... menos mal

Enviado por anónimo el 8 Mayo 2008 - 8:26am.

Majarias... menos mal que en mi curro me pude cambiar a linux.... se lo enseñare a mi jefe, a ver si le convenzo...

anónimo's picture

Complementando tu informacion

Enviado por anónimo el 9 Mayo 2008 - 3:40am.

Ese mismo vector de ataque y otros parecidos estan desde hace ya rato en el libro Hacking Exposed Web 2.0

anónimo's picture

idem

Enviado por anónimo el 8 Mayo 2008 - 12:31am.

Wow, creo que voy a tener que iniciar windows en vmware para algo que vale la pena... (por fin)