Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Mostrando resultados del 1 al 6 de 6

Tema: Spoofing de URI en Mozilla, Firefox y Thunderbird

  1. #1
    Fecha de Ingreso
    27-julio-2004
    Ubicación
    En un lugar de la mancha ...
    Mensajes
    2.348
    Post Thanks / Like
    Poder de Credibilidad
    19

    Exclamation Spoofing de URI en Mozilla, Firefox y Thunderbird

    Se ha reportado que Mozilla Suite, Firefox y Thunderbird, son propensos a una debilidad que permite engañar (spoofing) al usuario sobre la verdadera URI cuando se utiliza la opción "Save Link as..." (Grabar enlace como...), invocada desde un enlace HTML malicioso.

    URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

    Este problema puede ser aprovechado por un atacante para mostrar información falsa en la barra de estado. Un usuario confiado, puede ser engañado al descargar archivos cuyo origen podría parecer un sitio de confianza, cuando se trata de código o enlaces maliciosos a sitios dudosos. Esto puede facilitar ataques basados en una falsa sensación de confianza.

    Se ha publicado el siguiente código como prueba de concepto:

    Código:
    <h1>Firefox 1.01 : spoofing status bar without using JavaScript</h1>
        <p>Save the New Features about Firefox 1.02 ( PDF 20K )</p>
        <p>Right Click and Save Link as ...<p>
        <div>
        <a href="http://www.mozilla.org/features_ff102.pdf">
        <table><tr><td>
        <a href="http://www.tpc.org/tpch/spec/tpch2.1.0.pdf">
        download : http://www.mozilla.org/features_ff102.pdf
        </a><!-- first -->
        </td></tr></table>
        </a><!-- second -->
        </div>
    En el ejemplo, si el usuario acepta la sugerencia de grabar el enlace con el botón derecho, se descargaría un archivo del sitio "www.tpc.org" mientras la víctima creería estar haciéndolo de "www.mozilla.org".

    Soluciones: No se conocen soluciones al momento de la publicación de este aviso.

    Fuente: VSAntivirus

    Más información: Mozilla Suite/Firefox/Thunderbird Nested Anchor Tag Status Bar Spoofing Weakness

    Un saludo
    La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
    "No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"

  2. #2
    Goltnor Invitado

    Exclamation Falsificación de barra de estado en Firefox


    Se ha descubierto una debilidad en el navegador Firefox que puede
    ser explotada por atacantes remotos para incitar a usuarios para
    que salven archivos maliciosos al ofuscar las URLs en la barra de
    estado.

    La barra de estado no puede ser manipulada con código script en la
    configuración por defecto, pero se puede visualizar una URL incorrecta
    en dicha barra cuando se posiciona el ratón sobre un enlace, se pulsa
    el botón derecho y se usa la función de 'Guardar Como...'. Esta
    circunstancia puede explotarse incluyendo un enlace anidado en una
    tabla dentro de un enlace, sin necesidad de recurrir a código script,
    con simple html es suficiente. La falsificación de la barra de estado
    hará creer al usuario que el contenido que piensa descargar es
    inofensivo, sin embargo el atacante podrá grabar contenido malicioso.

    Se ha comprobado que el problema está presente en la versión 1.0 y
    1.0.1 del navegador. A la espera de una corrección del problema, se
    recomienda no salvar archivos desde sitios que no sean de total
    confianza.

    Se ha hecho público un código html que demuestra el problema:

    >>>>>

    <a href="http://www.mozilla.org/informacion.pdf">

    <table><tr><td>

    <a href="about:mozilla"> http://www.mozilla.org/informacion.pdf

    </a><!-- Cerrar primer enlace -->

    </td></tr></table>

    </a><!-- Cerrar segundo enlace -->

    Mas Informacion: Firefox Link in Embedded Table Lets Remote Users Spoof the Status Bar Contents

    Fuente: Hispasec


  3. #3
    Fecha de Ingreso
    27-julio-2004
    Ubicación
    En un lugar de la mancha ...
    Mensajes
    2.348
    Post Thanks / Like
    Poder de Credibilidad
    19
    Ya lo puse ayer en este mensaje

    Spoofing de URI en Mozilla, Firefox y Thunderbird
    La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
    "No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"

  4. #4
    Goltnor Invitado

    Cool Oye

    Oye disculpa, pense que era diferente y hasta lo vi asi , bueno si necesitas borrarlo adelante...

    Mil disculpas....


  5. #5
    Fecha de Ingreso
    27-julio-2004
    Ubicación
    En un lugar de la mancha ...
    Mensajes
    2.348
    Post Thanks / Like
    Poder de Credibilidad
    19
    Pues si te parece bien juntamos los 2 y así se complementan
    La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
    "No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"

  6. #6
    Goltnor Invitado

    Talking Jejejeje

    Como dice el dicho: "Una cosa compensa a la otra"...

    Gracias


Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Encubrimiento de dirección real en Mozilla y Firefox
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 05-ene-2005, 11:25
  2. Operación "array sort" infinita causa DoS en Firefox
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 29-nov-2004, 11:26
  3. Múltiples vulnerabilidades en Mozilla Firefox
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 11-nov-2004, 11:11
  4. Graves problemas de seguridad en productos Mozilla
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 16-sep-2004, 14:20
  5. Vulnerabilidad en Mozilla y Firefox favorece el phishing
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 5
    Último mensaje: 04-ago-2004, 01:02

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •