Nuevo bug y xploit para Internet Explorer

Febrero 21, 05 by admin

Un usuario (apodado xXx.wormz) de nuestro foro nos ha dejado un post sobre uno de los nuevos bugs que han aparecido para IE, para el cual ha descubierto una forma de explotarlo, y pide colaboración para solucionar y corregir este bug:

"A raiz de un bug salido en 15/02/2005 del internet explorer se me ocurrió crear un pequeño y simple xploit que puede ser peligroso, ya que el código eh html, produce un error en los usuarios que lo visualicen con el IE (última actualización hasta la fecha), El problema de dicho exploit es la inserción el firmas de foros o post que permitan html, y javascript, así como en páginas de envio de noticias basadas en php, ya que produce que se cierren automáticamente al visualizar la página con el código maligno.

Esta comprobado que el código se puede introducir en páginas php como noticias. Escribo para advertir de este xploit que podría ser peligroso, y anunciar que el uso de un codigo similar podría hacer ciertas webs inaccesibles para usuarios de IE.

A continuación les remito la dirección en la que les explico el xploit con el código:

http://usuarios.lycos.es/wormzweb/modules.php?name=Forums&file=viewtopic&p=21#21

Busco testers que puedan comprobar en que otro tipo de lugares podría usarse este xploit, ya que este código embebido en un html produciria efectos indeseados.

También he creado una imagen con este código, que debido a una vulnerabilidad XSS de hotmail, produce también el cierre del navegador, esta la publicaré en breve.

Pueden ver el xploit funcionando en http://www.wormzweb.tk no pongo exactamente el link a la noticia para que los usuarios de IE no tengan el error. La noticia esta fechada a dia 20/02/2005 Y tiene por título Xploit para Internet Explorer.

Doy mi permiso a los administradores de este site, a publicar sobre este xploit, pidiendo un poco de colaboración en darlo a conocer y buscar soluciones.

Un saludo By xXx"

El post se encuentra en: http://foro.shellsec.net/viewtopic.php?t=556

Add your comment

No responses for this post

  1. dudas Says: 19.03.06 at 1:06

    lo k pasa k kiero de verdad saber cuanta de esa gente dice la verdad pk es cierto k te metes en pag k te dicen como hackear correos y la burla pidiendote tu password y son panplinas solo para robarte el correo entiendes a mi de verdad me hackearon el correro y fue una persona mala clase k onda solo keria ver mis contactos y este era un ex mino ahora yo tb kiero hacer lo mismo pero la verdad no se

    :( adios me deprimi

  2. inseguro Says: 13.08.06 at 23:05

    Es muy posible

Leave a Reply