- Noticias relacionadas
- Otras noticias
.jpg)
Publicadas las mayores amenazas de software espía de junio.jpg)
Descubren varias vulnerabilidades en Macromedia Flash Player 8.0
Actualizaciones de seguridad para Adobe Reader y Acrobat 
La Biblia de los Monjes
Desbordamiento de bufer en control ActiveX de Internet Explorer
10 consejos para navegar seguro por internet
La final de la Champions, una amenaza para la seguridad informática
Actualización para vulnerabilidades en TCP/IP de Windows
Actualización de Moodle para Debian Linux
Las medidas de seguridad en la red corporativa de Microsoft
- En el foro
.jpg)
Denegación de servicio en Opera, Mozilla y Lynx.jpg){kind=icon}
Importante actualización de seguridad para Firefox.jpg)
Denegación de servicio con JavaScript en Opera-
DoS
Denegación de servicio en IE, Mozilla y Opera
25 Ago 2004 | VS ANTIVIRUS
Una prueba de concepto ha sido publicada en Internet. El fallo puede ser fácilmente explotado por una simple página HTML conteniendo un código javascript malicioso. El código carga repetidamente una ventana con la etiqueta IFRAME, según comenta VSantivirus.
Una etiqueta iframe, permite la inclusión de páginas dentro de otras páginas, ya sean del mismo dominio o protocolo, o no. Utilizando cualquier lenguaje de scripting, como JavaScript o VBScript, existen diversas maneras de acceder a un iframe, todas ellas haciendo uso de la propiedad document, que permite acceder al contenido de la etiqueta, es decir, a la página que contiene.
La prueba de concepto (POC), que causa que los recursos del procesador se agoten, incluye una ventana iframe que carga repetidamente el contenido de un directorio de Windows.
Un sitio web malicioso, o en algunos casos un correo electrónico con formato HTML, podrían llevar a cabo este tipo de ataque, causando el bloqueo del equipo con el software vulnerable.
Son afectadas las últimas versiones de los navegadores mencionados: Internet Explorer 6.0, Mozilla Firefox 0.9.3 y Opera 7.54
Al momento actual, no existen soluciones de parte de los fabricantes.
Relacionados:
IE, Firefox, Opera DoS
www.securityfocus.com/archive/1/372635Por otra parte, el navegador Konqueror de KDE, posee una vulnerabilidad que puede ser potencialmente aprovechada por usuarios maliciosos para llevar a cabo una sesión de "ataque de fijación" de sesión, a través de un cruce de dominios.
Muchas aplicaciones basadas en web, utilizan identificadores de sesión (IDs) para crear un entorno amistoso al usuario. El servidor genera un ID, y envía esta información al navegador, asegurándose cada cierto tiempo, que sea el mismo ID el devuelto por el navegador al requerirse alguna interacción de parte del usuario. Con ello se verifica que la sesión sigue siendo válida y que es el mismo usuario el que la utiliza. Esta información es almacenada en el navegador dentro de cookies.
Los sitios web que operan bajo los dominios afectados por esta vulnerabilidad, pueden colocar cookies de HTTP de tal manera que el navegador Konqueror podrá enviar dichas cookies a todos los sitios web que operen bajo el mismo dominio.
Un sitio web malicioso puede utilizar esta característica como parte de un ataque de fijación de sesión. En un ataque de esta clase, el atacante puede fijar la identificación ID antes que el usuario se conecte con el servidor, con lo cuál se elimina la necesidad de obtenerla después. Esto podría permitir al atacante hacerse pasar por el verdadero usuario, haciendo un uso ilegítimo de sus credenciales.
Existen ejemplos (en inglés), en el siguiente documento: www.acros.si/papers/session_fixation.pdf
Son afectados todos los dominios secundarios de primer nivel que utilicen más de 2 caracteres en la parte secundaria del nombre de dominio. También se requiere que ésta sea diferente de com, net, mil, org, gov, edu o int. Ejemplos de dominios afectados son .ltd.uk, .plc.uk y .firm.in
En cambio, dominios como .co.uk, .co.in y .com no son afectados.
Son vulnerables todas las versiones KDE hasta la 3.2.3 inclusive. La solución es actualizar Konqueror a una versión superior.
Más información:
KDE Security Advisory:
Konqueror Cross-Domain Cookie Injection
www.kde.org/info/security/advisory-20040823-1.txt - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
Ay qué rico es mi Konqueror que cuando pilla un script que se va de madre me pregunta si lo quiero abortar :-D
Una prueba mas de que Opera y mozilla chupan de Explorer...
No, se trata de una ejecución en un script de un bucle infinito, ahí da igual que el motor sea IE, Mozilla, KHTML o el que sea, si no se controla ese tipo de cosas (lo que hace Konqueror), peta de la misma forma.
Es como hacer
while(1) {
fork();
}
En C y pretender que el sistema no casque :-)
como se? cuales son los identificadores de
NetScape, Firefox, Mozilla, Konqueror?
como hago para revisar mi correo por konqueror, ya que me pide una actualizacion y no se como hacerlo
gracias