José Manuel Tella Llop
jmtella@compuserve.com
Sobre las dos Últimas vulnerabilidades publicadas
-------------------------------------------------Hace unos días ha saltado una noticia (por ejemplo, publicada por Hispasec) que acusaba a los navegadores de Microsoft de un par de bugs que vamos a ver a continuación.
No sólo la noticia peca de escandalosa, sino que además sucede igualmente con el resto de exploradores (o al menos también pasa con el Mozilla -comprobado-)
URL's mal construidas
---------------------Lo primero que hay que matizar es que no son mal construidas. Son construidas perfectamente y de acuerdo con la RFC que define los protocolos de Internet y su sintaxis.
En particular la sintaxis completa de una página web es:
http://usuario:password@www.direccion_web.com:puerto
Lo que sucede es que normalmente no accedemos con usuario / password y como por defecto, el puerto es el 80, tampoco lo ponemos.
El día 4/11/2003, curiosamente (digo curiosamente, porque las casualidades a veces parecen "causalidades") publiqué en los grupos de noticias:
un mensaje titulado: "viejos engaños...". Os aconsejo que miréis el hilo de la conversación y saquéis vuestras propias conclusiones. Como un pequeño resumen, empezaba:
------------------------------------------------
supongo que si veis una dirección de este estilo:http://www.microsoft.com:support%4062%2e57%2e115%2e225/download/KB254678_sp2.exe
¿sabréis lo que quiere decir ¿no?
------------------------------------------------Es tan simple, que "parece" que es un link a Microsoft. Pero no lo es. Realmente es un link a la dirección IP: 62.57.115.225
Recordemos que en una URL puede sustituirse cualquier símbolo por %xx siendo xx la conversión hexadecimal del símbolo. La @ es un 40, y el punto es un 2e. Por tanto, traduciendo un poco lo anterior, queda:
http://www.microsoft.com:support@62.57.115.225/download/KB254678_sp2.exe
Es decir, se accede al programa KB254678_sp2.exe que está en el servidor de Internet 62.57.115.225 (no es el de Microsoft, por supuesto) con el usuario www.microsoft.vom y la password "support".
Cualquier usuario se habría tragado el engaño creyendo que descarga un parche de MS... y lo que está haciendo es metiéndose un virus como una catedral (por ejemplo).
En el hilo en cuestión, tenéis mas ejemplos y la explicación de todos ellos.
* Y esto... un mes antes...Pero no es un bug. Es diseño del tcp, y además, si lo filtramos... cuidado: el server Apache lo usa internamente para un montón de sus páginas y sobre todo de paquetes estándares que ruedan sobre Apache y que utilizan masivamente en Internet muchos sitios Web. Por tanto, si se filtra, se corre el peligro de cargarnos más de un 20% de la red que lo está usando.
Y repito... el resto de Navegadores funcionan igual. Probadlo con Mozilla este simple ejemplo:http://www.nytimes.com%01%00@www.hispasec.com/directorio/laboratorio/Software/tests/nyt/nyt.html
el cual es una variante de lo anterior y os creeréis que estáis en la paginas del NewYork Times.
Vulnerabilidad recursiva de ataque DOS
----------------------Este es peor todavía y muchísimo más viejo. Quien quiera "experimentarlo", existe esta página usada desde hace mucho tiempo para hacer bromas. Viejo, realmente viejo.
* La conclusión es que se está sacando punta, y cazando brujas a base de cualquier información en la red.Y una segunda conclusión: casualidad... o causalidad...
--
|
|
14 - diciembre - 2003