Foro de elhacker.net

La última versión del navegador Internet Explorer de Microsoft contiene una falla que puede permitir serios ataques de seguridad contra sitios web que de otra forma son seguros.
 
 La falla en el IE 8 puede ser explotada para introducir XSS, o cross-site scripting, errores en páginas web que de otra forma son seguras, según dos fuentes de Register, quienes discutieron la falla con la condición de no ser identificados. Microsoft fue notificado de la vulnerabilidad pocos meses atrás, dijeron.

 Irónicamante, la falla reside en la protección agregada por los desarrolladores de Microsoft al IE 8 que está diseñando para impedir los ataques XSS (http://www.theregister.co.uk/2009/02/02/ie8_xss_filter_improvements/) contra los sitios. La característica funciona reescribiendo las páginas vulnerables usando una técnica conocidad como codificación de salida de modo que los caracteres y valores dañinos son reemplazados por otros seguros. Un portavoz de Google confirmó que es una "falla significativa" en la característica del IE 8 pero no quiso proveer datos específicos.
 
 No está claro como pueden las protecciones causar vulnerabilidades XSS en sitios web que de otra forma son seguros. Michael Coates - un ingeniero senior de seguridad de aplicaciones de Aspect Security que estudió de cerca la característica pero estaba en desconocimiento de la vulnerabilidad - especuló que es posible conseguir que el IE 8 reescriba páginas de forma tal que los valores nuevos disparen un ataque en un sitio limpio.
 
 "Si un atacante puede imaginar una falla en la forma que IE8 hace la codificación de salida y luego crea una cadena específica que el atacante conocerá que será transformada en un ataque, podrían usarlo como valor de entrada ... que en realidad resulta en un ataque disparado a la página," dijo. "Esta podría ser una forma de introducir un ataque en una página que de otra forma no tienen vulnerabilidades."
 
 Los ataques XSS son una forma de manipular la URL del sitio para inyectar código malicioso o contenido en una página web confiable. Muchos observadores de seguridad han llegado a ver las protecciones del IE 8 como la respuesta de Microsoft al NoScript (http://noscript.net/), una extensión popular que impide el XSS y otros tipos de ataques contra los usuarios del navegador Firefox.
 
 Al final de la tarde del jueves, Microsoft le dijo a The Register: "Microsoft está investigando nuevas afirmaciones públicas sobre una vulnerabilidad en Internet Explorer. Actualmente no tenemos conocimiento de ningún ataque que intente usar la declarada vulnerabilidad o de algún impacto en los clientes."
 
 Una vez que la investigación concluya, la compañía "tomará la acción apropiada", incluso liberar un parche o las instrucciones de como los usuarios puede protegerse de la explotación.
 
 Cuando Microsoft introdujo las protecciones, también creó una forma para que los webmastersignoraran la característica (agregando le encabezado de respuesta "X-XSS-Protection: 0"). Una revisión de los 50 sitios web más visitados muestra que sólo las propiedades de web que posee Google han optado por hacerlo. El pequeño número de sitios que bloquean la protección da para preguntarse que tan extendida está la vulnerabilidad.
 
 Preguntado Google porqué se priva de la protección, un portavoz de la compañía escribió en un correo electrónico:
 
 "Estamos al tanto de una falla significativa que afecta el filtrado de XSS en el IE 8, y hemos dado los pasos para proteger a nuestros usuarios deshabilitando el mecanismo en nuestras propiedades hasta que se libere un arreglo." No dio más detalles.
 
 Además de potencialmente introducir serias vulnerabilidades en páginas web, las protecciones XSS pueden acarrear otros resultados indeseables. Y esto es debido a que el motor señala frecuentemente caracteres perfectamente aceptables como si fueran potencialmente peligrosos. Un ejemplo de un falso positivo tal está aquí (http://search.yahoo.com/search?p=test%3Cscript%3E&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-701).
 
 David Ross, un ingeniero senior de seguridad de software de Microsoft, ha dicho (http://blogs.msdn.com/dross/archive/2008/07/03/ie8-xss-filter-design-philosophy-in-depth.aspx) que los desarrolladores que diseñan la característica apuntaron a ir hacia un balance pragmático entre proteger a los usuarios y no romper la web.
 
 "Necesitamos encontrar una forma de hacer el filtrado automático e indoloro y por lo tanto proveer el máximo beneficio a los usuarios," escribió. "En resumen, el Filtro XSS probará su valor elevando la valla y mitigando los tipos de XSS que se encuentran más comunmente por la web de hoy día, por defecto, para los usuarios de Internet Explorer 8."

Fuente:http://blog.segu-info.com.ar/2009/11/seria-falla-en-ie8-hace-que-sitios.html

Piensan que con un filtro pueden impedir ataques de tipo xss como alguien mencionó en la utilización de un htaccess con filtros que impedian la visualización de ciertos parámetros en la petición get.

lol.. esta vulnerabilidad la descubri yo xDDDD y voy a hablar de ella el proximo año en OWASP 2010 en suecia...

les dare una exclusiva aca en elhacker.net 5 minutos antes de la platica en suecia :)

Saludos!!

@sirdarckcat

The October OWASP AppSec Research 2010 challenge is over. The winner of a free entrance ticket to next year's AppSec conference in Stockholm is "sirdarckcat" with FireworksIsNotABrowser_v4 (although we like the slightly oversized v6 better).
 
:D

jaja si.. gane el concurso pero tambien queria ir de speaker...

aunque ya no se, puede que presente la vuln en Blackhat Europe en barcelona o en DC..