Estas aquiContenido / Nueva vulnerabilidad afecta a Explorer, Firefox y otros
Nueva vulnerabilidad afecta a Explorer, Firefox y otros
Secunia ha anunciado el hallazgo de una nueva vulnerabilidad JavaScript que afecta a casi todos los navegadores y permite a sitios maliciosos presentar al usuario cuadros de diálogo que parecen proceder de sitios legítimos y pueden solicitar contraseñas de acceso a banca on-line y similares.
Están afectados Internet Explorer, Firefox, Opera, Safari, Mozilla, etc...
Como suele ser habitual en Secunia, en la página arriba referenciada está disponible una demostración donde cualquier usuario puede comprobar si su navegador está o no afectado.
Etiquetas
Mucho Deer Park y mucha leche pero también traga con la demo de los c******!
Ya se que es imposible hacer un software 100% a rueba de errores, y menos aún invulnerable al ingenio humano, pero es resulta sorprendente la periodicidad con la que salen bugs y no sé si es que se hacen mal los programas o es que cada día los que nos la quieren meter son más espabilaos. En fin, espero el parche, como siempre (que deja vu!).
____
Me interesa el futuro porque es el sitio donde voy a pasar el resto de mi vida.
- Woody Allen
Me interesa el futuro porque es el sitio donde voy a pasar el resto de mi vida.
- Woody Allen
http://lynx.browser.org/
... para una Internet que cumple standards. Para una inmensa minoria ;-)
...el flame típico modo texto vs. modo gráfico :-D
Por lo que he visto, la vulnerabilidad consiste en que desde una ventana se pueden visualizar las propiedades de otra, y disfrazar así un popup para que parezca que viene de la "atacada" en lugar de la real
Para que esta vulnerabilidad sea efectiva, el atacado debe partir de una página "mala", y siguiendo los enlaces desde dicha página ir a la "buena".
Conclusión 1: Cuidado por donde vas
- Teclear siempre "a pelo" las direcciones sensibles
- O mejor aún: usar los bookmarks, que para eso están
Conclusión 2: No te fíes nunca de los enlaces.
- Comprueba siempre en la barra de estado donde apuntan realmente, antes de hacer click
Conclusión 3: vigila la barra de tareas.
- En el ejemplo de secunia, aunque aparentemente solo había una ventana abierta, en mi escritorio gnome me aparecían _dos_ ventanas
En mi opinión: realmente esta no es una vulnerabilidad, sino un ataque de "ingeniería social"
Para la discusión:
¿Es un fallo de seguridad permitir que desde una ventana del navegador se puedan leer o modificar las propiedades de las demás ventanas?
¿qué propiedades deberían bloquearse?
Hay que tener en cuenta que para los que hemos trabajado con frames y ventanas multiples, el acceso/modificación de unas sobre otras es una tarea de lo más común....
Totalmente de acuerdo contigo en la apreciación de ingeniería social. Una persona poco avezada podría caer en la trampa, pero al igual que ocurre con otras ventanas con look "XP" que te dicen que si tu ordenador está en peligro, que si es una encuesta... Con un poco de atención en lo que se hace no debería suponer un problema. O como que un supuesto banco te mande un correo para pedirte tus claves. ¿Habría que interpretarlo como una vulnerabilidad en el cliente de correo? Por favor...
Acceder y modificar desde una ventana del navegador otra ventana es algo muy habitual en el desarrollo web. Y no sólo habitual, sino necesario.
El primero que me ha colado.. firefox 1.0.4, netcraft, privoxy y tor.. pues nada, a esperar el correspondiente parche.
GNU/Linux Powered.
GNU/Linux Powered.
A mí me sale un mensaje en la parte superior de la página de secunia que dice:
"Firefox evitó que este sitio abriera una ventana emergente. Pulse aquí para las opciones..."
No recuerdo ahora que extensión u opción de configuración es la que bloquea los pop-ups, pero está claro que si lo blindas bien Firefox se porta :)
--
Por lo menos yo voté que NO.
.
--
Por lo menos yo voté que NO.
Firefox 1.1 en windows. Opción "Bloquear Pop-ups" activada.
Pese a todo, vulnerable.
http://secunia.com/advisories/15489/