Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales.
Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de phishing (suplantación de un sitio web legítimo).
Una vulnerabilidad XSS permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.
NAVCANCL.HTM es un recurso local que IE utiliza cuando por alguna razón se cancela la navegación (Exploración cancelada).
Cuando ello ocurre, la dirección (URL) de la página cancelada, es proporcionada a un script local después del símbolo numeral (#), de la siguiente manera:
res://ieframe.dll/navcancl.htm#[URL cancelada]
El script (httpErrorPagesScripts.js, que es parte del sistema), permite que el usuario pueda ir a la página cancelada, si hace clic en el enlace "Actualice la página." que se muestra (ver imagen más adelante).
Debido a la vulnerabilidad, es posible inyectar otro script en el enlace proporcionado, que también se ejecutaría cuando el usuario haga clic en el link "Actualice la página."
Debido a que Internet Explorer 7 ejecuta sus propios recursos locales en la zona de seguridad "Internet" (más restrictiva que la "Zona local" o "Mi PC" de versiones anteriores), esta vulnerabilidad no puede ser utilizada para la ejecución remota de código.
Sin embargo, por un error de diseño, cuando NAVCANCL.HTM se ejecuta, la dirección del sitio que se incluye después del numeral, es mostrada en la barra de direcciones (seguida de otro código que no siempre es una señal clara de alerta para un usuario desprevenido).
Una prueba de concepto, muestra como un atacante podría crear un enlace malicioso, que al ser cancelado lanzaría un script que desplegaría en la barra de direcciones un contenido que no sería el verdadero, pero que podría parecerlo. Por ejemplo, podría mostrarse el enlace real a un banco, pero cuando el usuario haga clic en "Actualice la página", en realidad sería redirigido a un sitio falso.
Answers & Comments
Verified answer
Hola.
Te recomiendo bajar el ie8 (internet explorer 8)
Esta muy completo, y mas seguro que el 7
Link de descarga
http://www.microsoft.com/latam/windows/internet-ex...
Alli lo conseguirás.
También puedes ir al panel de control y abres el des instalador, genera mente trae una opción que dice "reparar" también te arreglaria el problema
Navcancl.htm
Internet Explorer 7 posee una vulnerabilidad del tipo Cross-Site-Scripting (XSS) en uno de sus recursos locales.
Debido a un error de diseño del navegador, dicha vulnerabilidad podría ser utilizada por un atacante para llevar a cabo un ataque de phishing (suplantación de un sitio web legítimo).
Una vulnerabilidad XSS permite eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.
NAVCANCL.HTM es un recurso local que IE utiliza cuando por alguna razón se cancela la navegación (Exploración cancelada).
Cuando ello ocurre, la dirección (URL) de la página cancelada, es proporcionada a un script local después del símbolo numeral (#), de la siguiente manera:
res://ieframe.dll/navcancl.htm#[URL cancelada]
El script (httpErrorPagesScripts.js, que es parte del sistema), permite que el usuario pueda ir a la página cancelada, si hace clic en el enlace "Actualice la página." que se muestra (ver imagen más adelante).
Debido a la vulnerabilidad, es posible inyectar otro script en el enlace proporcionado, que también se ejecutaría cuando el usuario haga clic en el link "Actualice la página."
Debido a que Internet Explorer 7 ejecuta sus propios recursos locales en la zona de seguridad "Internet" (más restrictiva que la "Zona local" o "Mi PC" de versiones anteriores), esta vulnerabilidad no puede ser utilizada para la ejecución remota de código.
Sin embargo, por un error de diseño, cuando NAVCANCL.HTM se ejecuta, la dirección del sitio que se incluye después del numeral, es mostrada en la barra de direcciones (seguida de otro código que no siempre es una señal clara de alerta para un usuario desprevenido).
Una prueba de concepto, muestra como un atacante podría crear un enlace malicioso, que al ser cancelado lanzaría un script que desplegaría en la barra de direcciones un contenido que no sería el verdadero, pero que podría parecerlo. Por ejemplo, podría mostrarse el enlace real a un banco, pero cuando el usuario haga clic en "Actualice la página", en realidad sería redirigido a un sitio falso.