- Noticias relacionadas
- Otras noticias
.jpg)
¿Se merecen una oportunidad los creadores de virus?
Detectado un troyano creador de botnets que se propaga a través de mensajería instantánea.jpg)
Windows Vista implementará ASLR activado de serie
Detenido el creador de un virus que afectó a 115.000 móviles
Microsoft publicará cuatro boletines de seguridad el martes
Denegación de servicio en ISC BIND 9.x
El malware "TrojanDownloader.Tivso.Y." descarga el gusano Mocalo
Vulnerabilidad con archivos midi en Winamp 5.2x
Un exploit 0-Day ataca a los usuarios de RealPlayer
Apple publica una actualización de seguridad para Mac OS X
- En el foro
Mozilla lanza parches para tapar dos errores en Firefox.jpg)
Ejecución de código en Mozilla con etiqueta IFRAME.jpg)
Ejecución remota de código en Firefox 1.0.3-
VULNERABILIDADES
Spoofing de URI en Mozilla, Firefox y Thunderbird
16 Mar 2005 | VS ANTIVIRUS
URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.), según publica VSantivirus.
Este problema puede ser aprovechado por un atacante para mostrar información falsa en la barra de estado. Un usuario confiado, puede ser engañado al descargar archivos cuyo origen podría parecer un sitio de confianza, cuando se trata de código o enlaces maliciosos a sitios dudosos. Esto puede facilitar ataques basados en una falsa sensación de confianza.
Se ha publicado el siguiente código como prueba de concepto:<h1>Firefox 1.01 : spoofing status bar without using JavaScript</h1>
<p>Save the New Features about Firefox 1.02 ( PDF 20K )</p>
<p>Right Click and Save Link as ...<p>
<div>
<a href="http://www.mozilla.org/features_ff102.pdf">
<table><tr><td>
<a href="http://www.tpc.org/tpch/spec/tpch2.1.0.pdf">
download : http://www.mozilla.org/features_ff102.pdf
</a><!-- first -->
</td></tr></table>
</a><!-- second -->
</div>En el ejemplo, si el usuario acepta la sugerencia de grabar el enlace con el botón derecho, se descargaría un archivo del sitio "www.tpc.org" mientras la víctima creería estar haciéndolo de "www.mozilla.org".
Software vulnerable:
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Browser 1.7.6
- Mozilla Firefox Preview Release
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1
- Mozilla Thunderbird 0.6
- Mozilla Thunderbird 0.7
- Mozilla Thunderbird 0.7.1
- Mozilla Thunderbird 0.7.2
- Mozilla Thunderbird 0.7.3
- Mozilla Thunderbird 0.8
- Mozilla Thunderbird 0.9
- Mozilla Thunderbird 1.0
- Mozilla Thunderbird 1.0.1
Soluciones:
No se conocen soluciones por el momento.
Referencias:
Identificado en BugTraq como ID 12798
Mozilla Suite/Firefox/Thunderbird Nested Anchor Tag Status Bar Spoofing Weakness
http://www.securityfocus.com/bid/12798/
Mozilla Firefox Home Page (Mozilla)
http://www.mozilla.org/products/firefox/
Mozilla Homepage (Mozilla)
http://www.mozilla.org/
Thunderbird Home Page (Mozilla)
http://www.mozilla.org/products/thunderbird/ - Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar cursos y másters
a verm que alguien se lleve las manos a la cabeza ahora, como si hubiera ocurrido al IE :P
Creo que la gente ya esta acostumbrada a que encuentren nuevos errores en IE, y cuando lo hacen ya no se sorprenden.
AAAhhhh, pero eso si, no le encuentren un error a la competencia por que entonces si, se esos pocos errores se agarran para argumentar que no vale la pena.
Aun asi, yo seguire usando Firefox
Eso es solo un detalle, pero ten la seguridad de que no tendras que instalar otro sistema operativo o un SP2, para poder usar la nueva version de tu navegador y habeeeeeeeeeer si deveras funciona. Con Mozilla pronto estara la solucion. sin hacer tanto tango.
Hola.
IE 6.0.28 también apunta en la barra del explorador la opción incorrecta. Pero justo en el momento de pulsar el botón derecho para realizar la descarga apunta a la dirección correcta.
La mayor parte de los usuarios tampoco se darían cuenta. Si bien es cierto que el conportamiento es ligeramente mejor en este ejemplo concreto.
Hay que apuntar que pulsando el botón izquierdo, el habitual, manda al enlace que muestra en la barra de estado. Y si se abre en nueva pestaña manda y muestra el enlace real. En cualquiera de los dos casos el engaño que intenta el código acaba siendo descubierto. Si bien el comportamiento del navegador no es el más adecuado de cara al usuario.
De todas formas, no dudeis que la fundación mozilla y sus desarrolladores realizaran las correcciones oportunas en pro de los muchos y agradecidos usuarios que somos.
!Rasguemonos las vestiduras!, !Cubramonos de silicio!, !ayunemos una semana! ya que han encontrado una debilidad en el FIREFOX... contra 580 en el MSIE...amigos, esto no sucedía antes, NOVELL sacaba sus productos al mercado sin una sola pulga...no hay excusa aunque el producto sea gratis...debe venir bien.
Hola pienso, que si en realidad se pusiera mas esmero en la programación del grupo mozilla, podria ser Firefox, el mejor navegador internet y a pesar de que tan solo 6 programdores trabajan en el, creo que va muy bien avanzado.
Salu2
Lic. Pedro Almirante