Si eres nuevo en este sitio, puedes suscribirte a Tecnoseguridad via RSS o recibir la noticias via email. Gracias por tu visita !
Se han encontrado múltiples vulnerabilidades en Microsoft Internet Explorer 7 que podrÃan ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting o saltarse ciertas restricciones de seguridad por medio de ataques HTTP Request Smuggling.
La técnica del HRS (HTTP Request Smuggling) fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos http (clientes, servidores, cachés, etc.) podrÃan visualizar distintos tipos de peticiones. Esto permitirÃa que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.
El problema está causado porque es posible modificar ciertas cabeceras por medio de la función “setRequestHeader()”, lo que podrÃa ser aprovechado para inyectar peticiones HTTP arbitrarias configurando la cabecera Transfer-Encoding como “chunked” o para sobrescribir ciertas cabeceras, como “Content-Length”, “Host” y “Referer”.
Las vulnerabilidades están confirmadas para la versión 7.0.5730.11 y otras versiones podrÃan verse afectadas también. Como siempre y como norma habitual, se recomienda no navegar por sitios web no confiables.
