usuario
clave
iniciar sesión
regístrate
Portada
Canales
  • Apple
  • Blackhats
  • Ciencia
  • Comunicación
  • Curiosidades
  • e-Administración
  • Empresas
  • Eventos
  • Hardware
  • Nombramientos
  • Seguridad
  • Software
  • Software Libre
  • Telefonía
  • Videojuegos
  • Wireless
El Periódico
  • Blogs
  • Editorial
  • Entrevistas
  • Gadgets
  • Perfiles
  • Tags
  • Top noticias
  • Videorreportajes
  • Webcómics
Servicios
  • Boletines
  • Contactos
  • Empleo
  • Formación
  • Minijuegos
  • Tienda
  • Viviendas
Comunidad
  • Encuestas
  • Foros
  • Emails de los lectores
Viviendas
Acción:
Propiedad:
Provincia:

Patrocinado por:
Tienda
Boletín semanal
Email:
Boletines publicados
  • Seguridad
  • Noticias
Otras noticias
  • Microsoft publicará cuatro boletines de seguridad el martes
  • La gestión del riesgo
  • Descifrado el segundo mensaje de la máquina Enigma de cuatro rotores
  • La seguridad del cifrado inalámbrico
  • Vulnerabilidad XSS en cámara de red Canon VB-C10R
  • Desbordamiento de búffer por nombres largos en Windows e Internet Explorer
  • Microsoft lanza dos boletines de seguridad en diciembre
  • Microsoft publica el conjunto de parches de febrero
  • Apple publica una actualización de seguridad para Mac OS X
  • Yahoo! soluciona el "bug" de su Messenger, pero recomienda que se actualice
Más noticias
En el foro
  • ¿Qué antivirus usas?
  • Un problema
  • ¿Son las empresas que fabrican antivirus las responsables de los virus?
  • Seguridad en Centrales Hidroelectricas
  • Desfragmentador de disco
Ir al foro de Seguridad
vulnerabilidades

Una vulnerabilidad en Firefox favorece un ataque de phishing

Se ha reportado una vulnerabilidad en Mozilla Firefox, la cuál puede ser utilizada para eludir las restricciones de seguridad y obtener información del usuario afectado. La vulnerabilidad es del tipo "Cross-Domain" (dominio cruzado), lo que permite a un atacante acceder a datos de un dominio diferente.

19 Feb 2007 | VS ANTIVIRUS
M

ozilla utiliza el mismo modelo de seguridad para mantener la separación entre marcos (frames) de diferente origen. Este modelo está diseñado para prevenir que el código en la página de un dominio acceda a datos en un dominio diferente. Si dos páginas poseen el mismo protocolo (http, etc.), y el host es el mismo, Mozilla las considera como de un mismo origen, y permite el acceso cruzado a datos entre ambas páginas.

La vulnerabilidad permite engañar al navegador para que un simple cambio en el URI de un sitio, le haga creer que dos páginas de sitios diferentes, parezcan pertenecer al mismo dominio.

URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

El problema es ocasionado por una incorrecta validación de la propiedad DOM llamada "location.hostname", lo que favorece el robo (por ejemplo), de cookies de autenticación de sitios al azar, siempre que el atacante convenza al usuario a visitar un sitio Web malicioso conteniendo una página especialmente modificada.

DOM son las siglas en inglés de Modelo del Objeto Documento, una forma de describir un documento XHTML, XML o cualquier HTML válido, de forma que sea posible acceder a determinados componentes del mismo sin necesidad de conocer su ubicación.

La vulnerabilidad puede ser utilizada en ataques de phishing, haciendo creer al usuario que está conectado a la página de su banco, cuando en realidad está enviando información a otra.

Se ha publicado una demostración del problema.

Para que el ataque tenga éxito, se debe tener habilitado JavaScript.


Software afectado:

- Mozilla Firefox version 2.0.0.1 y anteriores


Solución:

No existe aún una solución oficial. Se espera que Mozilla publique una actualización automática que corrija este problema.

Mientras tanto se recomienda deshabilitar la posibilidad de que un sitio Web acceda a la propiedad afectada.

Para ello, puede agregar la siguiente línea al archivo USER.JS:

user_pref("capability.policy.default.Location.hostname.set", "noAccess");

Tags: firefox, navegadores, phishing, vulnerabilidades
Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [quote], [code]
Publicidad
Ahora en LaFlecha puedes encontrar cursos y másters



  • Acerca de LaFlecha
  • Contactar
  • Política de privacidad
  • RSS/RDF
  • Registro de Dominios
    Alojamiento Web
    Servidores Dedicados
    Buscador de Empresas
  • Pixmania
  • Alojamiento web
  • Eventos Barcelona
  • Alojamiento Web Linux
  • Alquiler Limusinas
  • Fotografos
  • Casino Online
  • ¿Quieres saberlo todo sobre Hacking?