Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Inyección de ventanas en Mozilla y Mozilla Firefox
 
VSantivirus No. 1616 Año 8, jueves 9 de diciembre de 2004

Inyección de ventanas en Mozilla y Mozilla Firefox
http://www.vsantivirus.com/vul-mozilla-inyecc-081204.htm

Por Angela Ruiz
angela@videosoft.net.uy


Secunia Research ha informado una vulnerabilidad, que afecta a Mozilla y Mozilla Firefox, y que podría ser explotada por un sitio web malicioso para engañar a usuarios desprevenidos, mostrando información falsa en ventanas desplegadas por sitios de confianza.

El problema ocurre porque cualquier sitio web puede inyectar contenido en una ventana desplegada por otro sitio, si se conoce el nombre de dicha ventana.

Para explotar esta debilidad, la víctima debe ser inducida a hacer clic sobre un enlace a otro sitio (por ejemplo un banco). Si dicho sitio abre alguna ventana, el web malicioso puede inyectar en ella cualquier contenido, sin que el usuario sospeche que el mismo no pertenece al sitio original.

Cómo trabaja la vulnerabilidad de inyección de ventanas

Secunia ha construido una demostración en el enlace que se indica más abajo. Para comprobar si su navegador es afectado, seleccione el enlace "With Pop-up Blocker:" si tiene un protector de ventanas emergentes (por ejemplo, el que incorpora el IE 6.0 de Windows XP SP2). Seleccione "Without Pop-up Blocker:" si no posee bloqueador de ventanas emergentes.

En ambos casos, deberá abrirse una página oficial del Citibank. Luego de terminar de cargar, haga clic sobre la imagen que muestra el siguiente texto:

(!) Consumer Alert
beware of fraudulent e-mails >

Normalmente, debería abrirse una ventana emergente del banco con información para evitar fraudes. Si su navegador es vulnerable, el contenido de dicha ventana será un texto relacionado con Secunia.


Enlace a test de demostración:

http://secunia.com/multiple_browsers_window_injection_vulnerability_test/


Software vulnerable:

La vulnerabilidad ha sido confirmada en los siguientes productos:

- Mozilla 0.x
- Mozilla 1.0
- Mozilla 1.1
- Mozilla 1.2
- Mozilla 1.3
- Mozilla 1.4
- Mozilla 1.5
- Mozilla 1.6
- Mozilla 1.7.x
- Mozilla Firefox 0.x
- Mozilla Firefox 1.x


Solución:

Instalar Firefox 1.0.1 o Mozilla 1.7.6

Firefox 1.0.1 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-250205.htm


Medidas de precaución:

No abrir el navegador en sitios no seguros o desconocidos, mientras en otra ventana se navega por sitios de confianza.


Créditos:

Secunia Research


Relacionados:

Firefox 1.0.1 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-250205.htm

Mozilla / Mozilla Firefox Window Injection Vulnerability
http://secunia.com/advisories/13129/

Multiple Browsers Window Injection Vulnerability
http://secunia.com/secunia_research/2004-13/advisory/

Multiple Browsers Frame Injection Vulnerability
http://secunia.com/advisories/11978/


Actualizaciones:

26/02/05 - 05:48 -0200 (Firefox 1.0.1)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS