 |
| |||||||
| Últimas Noticias Noticias del mundo de los Spywares, Virus, Malwares |
 |
| | Herramientas |
 | 
19/02/07, 23:03:13
|  |
| ||||
 Zalewski vuelve a alertar sobre problemas de seguridad en Firefox!!! Michal Zalewski se dio a conocer durante 2006 por su trabajo a la hora de poner a prueba la seguridad de los distintos navegadores. Ha descubierto varias vulnerabilidades tanto en Internet Explorer como Firefox, dedicándose con especial hincapié en desafiar a este último navegador, al que ha sabido buscarle las cosquillas. Entre otros fallos, los torpedos de Zalewski (una serie de exploits que provocaban que el navegador dejase de responder) han podido con el código de Firefox en varias ocasiones incluso después de crear actualizaciones. En esta última semana (poco después de que se hicieran públicas otras vulnerabilidades en Firefox), Zalewski ha vuelto a anunciar varios errores de diseño que considera constituyen serios problemas de seguridad. El primer problema se basa en la forma en la que Firefox maneja la escritura en la propiedad DOM location.hostname. Esto permite crear un script que modificaría su valor con datos que serían normalmente aceptados como nombres de host válidos cuando se interpreta una URL. Se pone como ejemplo un ataque basado en la cadena \x00. El resolvedor DNS y otras partes del código lo interpretan como el final de una cadena mientras que las cadenas de las variables DOM no. Según el ejemplo del propio Zalewski, evil.com\x00foo.example.com sería considerado por el código como parte del dominio example.com mientras que las peticiones irían a parar aEvil.Com - We get it...Daily. y éste sería capaz de modificar las cookies de la página legítima. Parece que ya existe parche para este fallo pero aún no se ha hecho público. Existe otro problema relativamente de menor consideración, pero que según el propio Zalewski merece la pena hacer notar. Se trata de un fallo de diseño por el que un script podría abrir la URL about:blank en una nueva pestaña. Esto permitiría al script interactuar con este documento como si se tratase de una página en el mismo dominio, lo que incluye inyección HTLM. Según Zalewski esto sería perfecto para perpetrar ataques phishing. Este fallo permite a un atacante eludir también una solución a un error anterior que se pensaba totalmente corregido. El problema también afecta a Microsoft Internet Explorer 7, pero sólo si la opción "Permitir a páginas abrir ventanas sin barras de estado o dirección" está marcada. Para facilitar todavía más las cosas a los phishers, a principios de febrero se descubrió un problema en Firefox que permitía a una página fraudulenta eludir el control antiphishing del programa con sólo añadir una barra "/" al final de la URL. Zalewski se queja además de otro "terrible" error de diseño que comparten estos navegadores y del que se tiene constancia desde 2004. Las notificaciones de seguridad que aparecen en la parte superior de las ventanas pueden ser trivialmente falsificadas porque se sitúan en una zona accesible por scripts. Este error todavía está ahí. Parece que Zalewski se podría erigir como un "nuevo" Guninski. Georgi Guninski, desde finales de los 90 hasta bien entrada la nueva década, descubrió decenas de errores de seguridad en el navegador Internet Explorer (su "especialidad") y otros muchos programas. Así la situación, hasta que los errores queden corregidos, se recomienda utilizar extensiones como NoScript o hacer uso de las zonas de seguridad de Internet Explorer. Más información: Firefox Phishing Protection Bypass Vulnerability SecuriTeam™ - Firefox Phishing Protection Bypass Vulnerability (Multiple /) Firefox Popup Blocker Allows Reading Arbitrary Local Files SecuriTeam™ - Firefox Popup Blocker Allows Reading Arbitrary Local Files Firefox + popup blocker + XMLHttpRequest + srand() = oops Neohapsis Archives - Full Disclosure List - #0103 - [Full-disclosure] Firefox + popup blocker + XMLHttpRequest + srand() = oops Firefox: serious cookie stealing / same-domain bypass vulnerability [Full-disclosure] Firefox: serious cookie stealing / same-domain bypass vulnerability Firefox focus stealing vulnerability (possibly other browsers) [Full-disclosure] Firefox focus stealing vulnerability (possibly other browsers) Firefox: about:blank is phisher's best friend Bugtraq: Firefox: about:blank is phisher's best friend Fuente Novedades del Foro | Antivirus Online | Tutorial de Spywares | Políticas en HijackThis * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !! * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.     |
|
20/02/07, 17:26:30
| |
| ||||
| Re: Zalewski vuelve a alertar sobre problemas de seguridad en Firefox!!! En TecTimes amplian un poco más las alertas de Zalewsky Cita:
|
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
|
|
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Duda sobre Firefox 2.0 y configuración de colores | Mikelmi | Foro de Software | 9 | 07/03/07 15:50:57 |
| Firefox dandome problemas..(solucionado) | gallosediento | Ayuda General | 3 | 10/12/06 17:08:50 |
| Duda sobre Mozilla Firefox | SouLosT | Ayuda General | 10 | 22/04/06 00:43:35 |
| Dudas sobre qué software de seguridad elegir | lifo | Foro de Software | 2 | 11/04/06 18:04:25 |
| problemas con firefox | inpep | Foro de Software | 7 | 20/09/05 17:50:30 |
Todas las horas son GMT -4. La hora es 02:35:33.
