- Otras noticias
Denegación de servicio a través de la función "php_dechunk" en PHP 5.3.x
"Vanish", un sistema que destruye documentos
Opera 9.0 vulnerable a una denegación de servicio
El FBI dice que Microsoft no es el culpable de los fallos de seguridad
iPhone OS 3.0, más que una actualización de funciones
Terra.es bloqueado por SpywareBlaster
España, Inglaterra y Alemania, principales agujeros de seguridad en Internet 
Recomendaciones de los gobiernos alemán y francés sobre navegadores.jpg)
Paquetes BGP mal construidos provocan el reinicio de dispositivos Cisco IOS.jpg)
El gusano Korgo puede indicar la presencia de una bomba de tiempo
- En el foro
-
vulnerabilidades
Una vulnerabilidad en Firefox favorece un ataque de phishing
19 Feb 2007 | VS ANTIVIRUS
Mozilla utiliza el mismo modelo de seguridad para mantener la separación entre marcos (frames) de diferente origen. Este modelo está diseñado para prevenir que el código en la página de un dominio acceda a datos en un dominio diferente. Si dos páginas poseen el mismo protocolo (http, etc.), y el host es el mismo, Mozilla las considera como de un mismo origen, y permite el acceso cruzado a datos entre ambas páginas.
La vulnerabilidad permite engañar al navegador para que un simple cambio en el URI de un sitio, le haga creer que dos páginas de sitios diferentes, parezcan pertenecer al mismo dominio.
URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).
El problema es ocasionado por una incorrecta validación de la propiedad DOM llamada "location.hostname", lo que favorece el robo (por ejemplo), de cookies de autenticación de sitios al azar, siempre que el atacante convenza al usuario a visitar un sitio Web malicioso conteniendo una página especialmente modificada.
DOM son las siglas en inglés de Modelo del Objeto Documento, una forma de describir un documento XHTML, XML o cualquier HTML válido, de forma que sea posible acceder a determinados componentes del mismo sin necesidad de conocer su ubicación.
La vulnerabilidad puede ser utilizada en ataques de phishing, haciendo creer al usuario que está conectado a la página de su banco, cuando en realidad está enviando información a otra.
Se ha publicado una demostración del problema.
Para que el ataque tenga éxito, se debe tener habilitado JavaScript.
Software afectado:
- Mozilla Firefox version 2.0.0.1 y anteriores
Solución:
No existe aún una solución oficial. Se espera que Mozilla publique una actualización automática que corrija este problema.
Mientras tanto se recomienda deshabilitar la posibilidad de que un sitio Web acceda a la propiedad afectada.
Para ello, puede agregar la siguiente línea al archivo USER.JS:user_pref("capability.policy.default.Location.hostname.set", "noAccess");
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios - Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
