Se ha encontrado un medio por el cual cualquier sitio web puede visualizar la información almacenadas en las cookies por Internet Explorer.
Las cookies representan un medio para que los servidores Internet puedan «recordar» la información entre las diferentes visitas que realice al sitio. Son pequeños archivos de texto almacenados en el disco duro de los usuarios y contienen diversos datos con preferencias del usuario e incluso passwords. Para proteger la información las cookies sólo permiten la lectura de su contenido a direcciones del dominio que creo la cookie.
Pero si el navegador empleado por el usuario es Internet Explorer la protección asociada a las cookies puede ser evitada de forma que cualquier sitio web puede leer el contenido de las cookies aunque no pertenezcan a su dominio.
Un ejemplo del problema queda demostrado en la siguiente dirección: http://www.hispasec.com%2fleecookie.htm%3f.amazon.com que lee la cookie procedente de amazon.com, basta con sustituir ..amazon.com por cualquier otro dominio La extra_a direcci¢n se forma a partir de reemplazar las / por %2f y la interrogaci¢n (?) por %3f en la direcci¢n http://www.hispasec.com/leecookie.htm?.amazon.com. De esta forma se consigue evitar la protecci¢n, IE cree que la p gina se localiza realmente en el dominio amazon.com y permite la lectura de la cookie.
Para leer la cookie basta con emplear la funci¢n javascript document.cookie, de forma que la p gina html que lee la cookie simplemente contiene las instrucciones:
document.write(document.cookie). Pero como se puede observar todo el secreto reside en la sustituci¢n de los caracteres en la URL, ya que al introducir la url correctamente construida la cookie no se visualiza.
Como es habitual en estos casos la onica soluci¢n para evitar el problema pasa por desactivar JavaScript en Internet Explorer, por otra parte los navegadores de Netscape no se ven afectados por este fallo.Microsoft ha comunicado que ya trabaja en un parche para solucionar la vulnerabilidad.
M s informaci¢n:
Peacefire.org (demostraci¢n):
http://peacefire.org/security/iecookies/
ZdNet:
http://www.zdnet.com/zdnn/stories/news/0,4586,2568274,00.html?chkpt=zdhpnews01
Cnet:
http://news.cnet.com/news/0-1005-200-1857707.html
MSNBC:
http://www.msnbc.com/news/406496.asp
Newsbytes:
http://www.newsbytes.com/pubNews/00/148908.html
Computerworld:
http://www.computerworld.com/home/print.nsf/all/000512DEF6
Antonio Ropero
antonior@hispasec.com
