Microsoft Windows Vista Community Forums - Vistaheads
Recommended Download



Welcome to the Microsoft Windows Vista Community Forums - Vistaheads, YOUR Largest Resource for Windows Vista related information.

You are currently viewing our boards as a guest which gives you limited access to view most discussions and access our other features. By joining our free community you will have access to post topics, communicate privately with other members (PM), respond to polls, upload content and access many other special features. Registration is fast, simple and absolutely free so , join our community today!

If you have any problems with the registration process or your account login, please contact us.

Driver Scanner

WINDOWS VULNERABLE Spoofing durante autentificación básica HTTP en IE7

microsoft.public.es.windowsvista






Speedup My PC
Reply
  #1 (permalink)  
Old 07-14-2007
Ricardo De Castro Aquino
 

Posts: n/a
WINDOWS VULNERABLE Spoofing durante autentificación básica HTTP en IE7
http://www.vsantivirus.com/vul-ie7-cve-2007-3164.htm

Por Angela Ruiz
angela@videosoft.net.uy

Microsoft Internet Explorer 7 es propenso a una debilidad
que permite falsificar el nombre del dominio en una autentificación básica
HTTP.

HTTP proporciona un mecanismo de intercambio de
respuestas simples que puede ser utilizado para una autenticación básica
del usuario que solicita determinados recursos. El servidor solicita los
datos y el cliente proporciona la información que lo autentifica. Esto se
produce generalmente a través de una ventana de diálogo.

Sin embargo, es posible engañar al navegador, para que la
referencia del servidor (nombre del dominio mostrada en la URL del sitio),
no sea la verdadera, de tal modo que el usuario envíe información a un
sitio falso.

La debilidad se produce en la interpretación de dominios
internacionales, el estándar IDN (International Domain Name), que permite
la utilización de caracteres unicode en los nombres de dominios.

La norma IDN para nombres de dominio internacionalizados,
utiliza Unicode para poder usar nombres de dominio multilingües, los que
incluyan caracteres españoles, griegos, cirílicos, hebreos, árabes, y hasta
ideogramas japoneses, chinos y coreanos.

Un atacante puede utilizar esta vulnerabilidad para
realizar ataques de phishing, entre otros que involucren alguna acción de
"spoofing", esto es, hacer que una solicitud parezca venir de un sitio
diferente al que realmente la realiza.

Para explotar este problema, un atacante debe convencer a
un usuario confiado, que visite una página web maliciosamente construida.

No hacer clic sobre enlaces recibidos en mensajes no
solicitados, ayuda a disminuir los riesgos de caer en este tipo de trampa.

La protección anti-phishing de Internet Explorer 7, no
siempre resultará efectiva en estos casos.

Una prueba de concepto ha sido publicada para demostrar
el problema.

Son afectadas todas las versiones de Internet Explorer 7.

Referencias:

Cross Domain Basic Auth Phishing Tactics
http://ha.ckers.org/blog/20070608/cr...shing-tactics/

Microsoft Internet Explorer 7 HTTP Authentication
International Domain Name Spoofing Weakness
http://www.securityfocus.com/bid/24483

CVE-2007-3164
http://www.cve.mitre.org/cgi-bin/cve...=CVE-2007-3164

CVE (Common Vulnerabilities and Exposures), es la lista
de nombres estandarizados para vulnerabilidades y otras exposiciones de
seguridad que han tomado estado público, la cuál es operada por
cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

Relacionados:

Riesgo de spoofing en múltiples navegadores (IDN)
http://www.vsantivirus.com/vul-idn-spoofing-080205.htm

Vulnerabilidades en nombres de dominio internacionales
http://www.vsantivirus.com/ucert-idn.htm

Créditos:

Alexander Brachmann






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com







Copyright 1996-2007 Video Soft BBS

http://www.vsantivirus.com/vul-ie7-cve-2007-3164.htm






Reply With Quote
Sponsored Links
Reply


Thread Tools
Display Modes

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

vB code is On
Smilies are On
[IMG] code is On
HTML code is Off
Trackbacks are On
Pingbacks are On
Refbacks are Off

Similar Threads
Thread Thread Starter Forum Replies Last Post
Windows cannot find http://www.whatever.com Keven J. Nielsen microsoft.public.windows.vista.general 12 09-23-2007 15:26
IE7 in Vista - HTTP 403 error Scott microsoft.public.windows.vista.general 3 05-03-2007 13:29
Re: reinicio durante instalacion Jordi Maycas microsoft.public.es.windowsvista 4 04-27-2007 06:18
Windows Mail and HTTP Amrykid microsoft.public.windows.vista.mail 11 03-31-2007 23:43




All times are GMT +1. The time now is 16:52.




Driver Scanner - Free Scan Now

Vistaheads.com is part of the Heads Network. See also XPHeads.com , Win7Heads.com and Win8Heads.com.


Design by Vjacheslav Trushkin for phpBBStyles.com.
Powered by vBulletin® Version 3.6.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
Search Engine Optimization by vBSEO 3.6.0 RC 2

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120