-
Si usas IE pulsa estos enlaces: http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev3.html clic de raton para invertir. http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev.html http://www.hispasec.com/directorio/laboratorio/Software/tests/odrev2.html
Si has notado algo raro se debe a un fallo de seguridad extremadamente grabe en IE y que permite ejecutar codigo desde cualquier web.
Lee esto: http://www.hispasec.com/unaaldia/1778
-
Este es de los mejores del IE, se han superado a ellos mismos.
A dia de hoy todavia no hay una solucion disponible y con este fallo de seguirdad podria incluso formatearse el disco duro desde una web, intetad no usar IE.
-
Publicado originalmente por Nemes1S
**No es que sea un consuelo, pero el parche ya está disponible en Windows Update…Salu2**
http://www.hardlimit.com/forum/showthread.php?s=&threadid=21836
-
El agujero está ahí, y tengo actualizado el navegador con todos los parches…
-
Yo tambien, no hay solucion, bueno, pasar del IE.
-
Yo acabo de bajarme el mozilla… Creo que ya es hora.
-
teneis razon ese parche no arregla ese bug, pero este otro si:
Microsoft acaba de publicar un parche para una nueva vulnerabilidad grave descubierta, similar a la que utiliza el virus Blaster. Si no queréis volver a sufrir las consecuencias de un nuevo virus es más que recomendable que todos los usuarios de Windows XP, 2000 y NT lo instaléis.
Un saludo.
-
Si el parche que viene ahi es este: http://www.microsoft.com/library/shared/deeptree/bot/bot.asp?dtcnfg=/technet/treeview/deeptreeconfig.xml que no lo se porque no puedo acceder a la pagina pone elotrolado, os tengo que decir que no funciona.
He instalado el parche este que he enlazado y tras comprobar los enlaces de johnyQ me sigue pasando lo mismo. No he reiniciado pero tampoco me lo pide, puede que sea eso.
-
Hola, siguiendo el enlace de elotrolado.net he llegado a este parche:
Ojo, a mí si me ha pedido reiniciar pero sigue sin funcionar, me falla en los 3 ejemplos de la página. Decidido, estoy harto de actualizaciones, voy a bajarme el mozilla.
Un saludo.
-
Este ordenador tiene instalado el norton antivirus, y antes de ejecutar te salta dandote un aviso, a falta de pan, buenas son tortas.. :rolleyes:
-
Amos a ver, que no todo el monte es oregano y no solo el ie tiene bugs.
copypasteo:
Por Xavier Caballé xavi@hispasec.com
Hispasec - www.hispasec.com
(17/11/2002)Durante estos últimos días se han anunciado diversas vulnerabilidades de
seguridad en Mozilla, así como cualquier otro producto basado en el mismo.Mozilla es un entorno de código abierto, de gran calidad, nacido a partir de
una iniciativa de Netscape. Su mayor exponente es el propio Mozilla, el
navegador web sobre el que se basa Netscape 6.x así como el reciente
Netscape 7.0. Pero también hay muchos otros productos que se basan en
Mozilla, tales como otros navegadores, entornos de desarrollo, sistemas de
navegación…Durante los últimos días se han anunciado la existencia de diversas
vulnerabilidades que, básicamente afectan a las versiones de Mozilla
anteriores a la 1.0.1.a.. Corrupción de memoria al procesar archivos GIF con el atributo WIDTH
del tag fijado en 0.Un atacante remoto puede provocar un desbordamiento de buffer cuando en una
página HTML se incluyen diversas marcas con el atributo WIDTH fijado
en 0. Aunque no se ha verificado, es posible que esta vulnerabilidad permita
a un atacante remoto ejecutar código, con los privilegios del usuario que
utiliza Mozilla.Existe una prueba de concepto de esta vulnerabilidad en
http://crash.ihug.co.nz/~Sneuro/zerogif/Esta vulnerabilidad está presente en todas las versiones de Mozilla
anteriores a la 1.1, en las diferentes plataformas. También afecta a
Netscape 6.2.x así como al Opera 5.x y 6.x para Linux.2.. El evento "onUnload" de JavaScript puede revelar información sobre las
páginas web que se visitan.Un error en la implementación del evento "onUnload" puede permitir a un
webmaster conocer a que páginas acceden los usuarios en el momento de
abandonar su sede web.Existe una prueba de concepto de esta vulnerabilidad en
http://members.ping.de/~sven/mozbug/refcook.htmlEsta vulnerabilidad afecta a todas las versiones de Mozilla existentes hasta
la fecha, incluyendo a Mozilla 1.1.3.. En determinadas circunstancias, cuando se utiliza document.open() como
acción a realizar de un formulario, puede producirse un desbordamiento de
buffer, que provocará la finalización inesperada de Mozilla.Existe una prueba de concepto de esta vulnerabilidad en
http://bugzilla.mozilla.org/attachment.cgi?id=91590&action=viewEsta vulnerabilidad afecta a las versiones de Mozilla anteriores a la 1.0.1.
4.. Como consecuencia de un error en la implementación de la función
onkeypress cuando debe procesar la barra espaciadora. Esto puede ser
utilizado para instalar, sin conocimiento ni autorización por parte del
usuario, un paquete XPI.Esta vulnerabilidad afecta a las versiones de Mozilla anteriores a la 1.0.1.
5.. En circunstancias concretas, Mozilla no informa correctamente al
usuario del cambio del nivel de seguridad cuando se produce una redirección
desde una página ubicada en un servidor seguro (HTTPS) a un servidor
estándar (HTTP).Esta vulnerabilidad afecta a todas las versiones de Mozilla anteriores a la
1.0.1.6.. El objeto XMLSerializer, que forma parte del paquete XMLExtras, no
realiza ninguna comprobación del origen de los parámetros, de forma que un
objeto invocada puede acceder a las propiedades de otro dominio cargado en
un frame o iframe separado.Existe una prueba de concepto de esta vulnerabilidad en
http://www3.sympatico.ca/ndeakin/test/sectest.htmlEsta vulnerabilidad afecta a todas las versiones de Mozilla anteriores a la
1.0.1.a.. Más información
Know vulnerabilities in Mozilla
http://www.mozilla.org/projects/security/known-vulnerabilities.htmlMozilla riddled with security holes
http://online.securityfocus.com/news/1575Mozilla: Hit bug on head, win lizard
http://news.com.com/2100-1023-964663.htmlMozilla: The Good and The Bad
http://slashdot.org/article.pl?sid=02/11/06/189211Mozilla Browser Zero Width GIF Image Memory Corruption
http://online.securityfocus.com/bid/5665http://bugzilla.mozilla.org/show_bug.cgi?id=157989
Mozilla OnUnload Referer Information Leakage Vulnerability
http://online.securityfocus.com/bid/5694http://bugzilla.mozilla.org/show_bug.cgi?id=145579
Mozilla Browser HTTP/HTTPS Redirection Weakness
http://online.securityfocus.com/bid/5757Mozilla document.open() Memory Corruption Denial of Service Vulnerability
http://online.securityfocus.com/bid/5759Mozilla Space Key XPI Installation Vulnerability
http://online.securityfocus.com/bid/5762Mozilla XMLSerializer Same Origin Policy Violation Vulnerability
http://online.securityfocus.com/bid/5766Mozilla vulnerabilities, an update
http://online.securityfocus.com/archive/1/292362Mozilla riddled with security holes
http://www.theregister.co.uk/content/55/27934.htmlNetscape/Mozilla: Exploitable heap corruption via jar :URI handler
http://online.securityfocus.com/archive/1/299837/2002-11-12/2002-11-18/0Updated Mozilla packages fix security vulnerabilites
http://online.securityfocus.com/archive/1/296141Updated Mozilla packages fix security vulnerabilites
http://online.securityfocus.com/advisories/4580Vulnerabilidad de seguridad en Mozilla y proyectos derivados
http://www.hispasec.com/unaaldia.asp?id=1431Fin….........................................
Salu2
Packo -
No se trata de que IE sea una mierda y los demas muy buenos de igual forma que no es que Windows sea malisimo.
De lo que se trata es de probablidad. Como windows y IE estan en el 90% de los equipos hay un 90% de posibilidades de encontrar fallos.
En el momento en el que el uso de todos los sistemas se iguales sera mas facil encontrar fallos en el resto.
-
a eso es a lo que yo me refería, que TODOS los softwares tienen fallos, y obviamente es más probable que se detecten fallos al ie que al opera (p.ej)
Salu2
Packo -
Parece ser que estos problemas se han solucionado con el ultimo parche de seguridad de M$ aparecido ayer.
-
Amos a ver, que no todo el monte es oregano y no solo el ie tiene bugs.
copypasteo:
Por Xavier Caballé xavi@hispasec.com
Hispasec - www.hispasec.com
(17/11/2002)–------------------------
Durante los últimos días se han anunciado la existencia de diversas
vulnerabilidades que, básicamente afectan a las versiones de Mozilla
anteriores a la 1.0.1. -
¿Y eso qeu quiere decir?.
-
Nada
-
Pues a mi en cuanto entre en los links esos me salto la aplicación a la q afecta la vulnerabilidad… asi q la he bloqueado por si las moscas :sisi: Imagino q si el parche no funciona pues esto controlara el acceso a ese .exe
Un Saludo
-
A mi si me funciona, ahora me sale una ventana diciendome que si quiero descargarme los archivos mientras que antes directamente me hacia la gracia.
-
Publicado originalmente por pakohuelva
**No se trata de que IE sea una mierda y los demas muy buenos de igual forma que no es que Windows sea malisimo.De lo que se trata es de probablidad. Como windows y IE estan en el 90% de los equipos hay un 90% de posibilidades de encontrar fallos.
En el momento en el que el uso de todos los sistemas se iguales sera mas facil encontrar fallos en el resto.**
Lo que puede ocurrir, y de hecho ocurre, es que los bug de los IE/Windows, están más "protegidos" al ser más buscados, por esa misma regla de tres que comentas, y los parches se ponen a disposicion rapidamente, cosa que no ocurre en otros sistemas, incluidos los que más seguros consideréis, y mira que duele decir esto., pero así es.
¿Que sistema es más seguro?, al que más vulnerabilidades se le busca y se le ponen "cienes y cienes" de parches y vacunas, o el que, buscándoe menos bug, igualmente se publican menos parches y vacunas y casi siempre a destiempo.PD. A mí también me funciona el parche.
