- Noticias relacionadas
- Otras noticias
Desbordamiento de búfer en Symantec pcAnywhere 9, 10 y 11
El troyano PSW.WOW.FW. roba información del juego "World of Warcraft"
Los parches de enero de Microsoft no solucionan los agujeros de seguridad
Hacienda avisa de un reembolso de impuestos fraudulento online
Revelación de información del sistema a través de srsexec en Sun Solaris 10
Ejecución de código en StarOffice/StarSuite 8 y 9
Actualización de seguridad del navegador Google Chrome 
Publican una grave vulnerabilidad que afecta a entornos con Directorio Activo
Nuevas vulnerabilidades en Internet Explorer
Microsoft publicará cuatro boletines de seguridad el martes
- En el foro
Actualización de seguridad para Java
La versión 1.7.5 Mozilla corrige una vulnerabilidad en el protocolo NNTP-
vulnerabilidad
Mozilla permite deshabilitar elementos via JavaScript
21 Dec 2004 | VS ANTIVIRUS
Esto permite que sitios web maliciosos puedan crear ventanas de diálogo falsificadas utilizando lenguaje XUL, según publica VSantivirus.
XUL (XML User Interface Language), es un lenguaje basado en XML con el que Mozilla y Firefox construyen sus menús, botones, cajas de diálogo y la mayoría de los elementos que conforman su interfase de usuario (UI).
Debido a que dichos elementos pueden ser deshabilitados, es posible para un sitio web usar XUL para crear cajas de diálogo que muestren el look de las ventanas de diálogo de Mozilla y Windows, deshabilitando antes las verdaderas.
Un atacante puede hacer creer a un usuario que está visualizando un elemento de estado verdadero en Mozilla, cuando en realidad la víctima está visualizando las ventanas de un sitio controlado por el pirata.
El atacante puede usar técnicas de ingeniería social adicionales, para obligar al usuario a que ingrese información sensible, tales como tarjeta de crédito, números de cuentas, contraseñas, etc.
El pirata también puede crear ventanas emergentes falsas que no muestren la barra de direcciones.
Solución
No existe ninguna solución oficial a este problema. Se sugiere deshabilitar la posibilidad de ocultar los elementos de estado.
Realizando los siguientes pasos, es posible prevenir que JavaScript deshabilite estos elementos.
Esto hará que las páginas creadas por XUL aparezcan diferentes a los diálogos nativos de Mozilla.
1. Ingrese "about:config" (y pulse Enter) en la barra de direcciones de Mozilla y Mozilla Firefox. Esto mostrará los valores de configuración de Mozilla.
2. Configure los siguientes valores como verdaderos (true), dando doble clic en la línea correspondiente:dom.disable_window_open_feature.titlebar
dom.disable_window_open_feature.close
dom.disable_window_open_feature.toolbar
dom.disable_window_open_feature.location
dom.disable_window_open_feature.directories
dom.disable_window_open_feature.personalbar
dom.disable_window_open_feature.menubar
dom.disable_window_open_feature.scrollbars
dom.disable_window_open_feature.resizable
dom.disable_window_open_feature.minimizable
dom.disable_window_open_feature.statusEstas preferencias pueden ser configuradas desde el archivo "user.js".
Sistemas afectados
Mozilla
Mozilla Firefox
Referencias:
Mozilla allows various status elements to be disabled via JavaScript
http://www.kb.cert.org/vuls/id/262350
El navegador Firefox facilita técnicas de phishing
http://www.vsantivirus.com/vul-firefox-xul.htm
Mozilla / Mozilla Firefox User Interface Spoofing Vulnerability
http://secunia.com/advisories/12188/
Mozilla Firefox XML User Interface Language Browser Interface Spoofing Vulnerability
http://www.securityfocus.com/bid/10832
Mozilla and Firefox user interface spoofing
http://xforce.iss.net/xforce/xfdb/16837
https://bugzilla.mozilla.org/show_bug.cgi?id=176304
http://bugzilla.mozilla.org/show_bug.cgi?id=244965
http://bugzilla.mozilla.org/show_bug.cgi?id=22183 - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
Estas cagadas suman y siguen en este sotwarucho de a peso
¿No te ha dado por leer la noticia inmediatamente inferior a esta en lamisma sección? Deberías ruborizarte con semejante comentario XD
el internet explorer es la mayor basura q existe
ATTE.
MBlaster
no les parecen sopehosas estas noticias??
Internet Explorer tiene exactamente el mismo problema solo que en firefox tenemos la posibilidad de corregirlo mediante las preferencias (ya viene bien por defecto en la v.1) y en Internet Explorer (aun en su última version) NO.
Firefox rulez!
Explorer sucks!
La verdad q no me preocupa demasiado si el firefox tiene esta o aquella vulnerabilidad; mi tranquilidad deviene de q seguramente en un par de dias este bug estara resuelto, y no tendremos q esperar al primer martes de cada mes para poder usar la compu luego de instalar parches....