Spoofing de cuadro de diálogo en múltiples navegadores

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Spoofing de cuadro de diálogo en múltiples navegadores

Compartir

Secunia Research ha descubierto una vulnerabilidad que afecta a varios navegadores, la cuál puede ser explotada por sitios maliciosos para engañar al usuario (spoofing), sobre el origen de ventanas de diálogo usadas para el ingreso de información.

El problema ocurre porque las ventanas de diálogo en Javascript no muestran su origen (dirección), permitiendo que una nueva ventana abra un cuadro de diálogo para ingresar cierta información (una contraseña por ejemplo), que aparecerá sobre el sitio verdadero como desplegada por dicho sitio, pero cuyo contenido será enviado a un sitio malicioso.

http://secunia.com/multiple_browsers...rability_test/

Para ejecutar la prueba, haga clic en el enlace "Test Now - Left Click On This Link" de dicha página.

La demostración abrirá el sitio de Google.com. Después de unos segundos, un cuadro de diálogo será mostrado encima de Google.com. Si el cuadro de diálogo no muestra su origen (o sea, no se indica que está generado por Secunia.com), su navegador es vulnerable.


Software vulnerable:

- Camino 0.x
- Mozilla 1.7.x
- Mozilla Firefox 0.x
- Mozilla Firefox 1.x
- iCab 2.x
- Safari 1.x
- Opera 7.x
- Opera 8.x
- Microsoft Internet Explorer 6.x
- Internet Explorer 5.x for Mac


Software NO vulnerable

- iCab 3.0 beta
- Opera 8.01


Para tener en cuenta:

1. NUNCA haga clic en forma directa sobre NINGUN enlace en mensajes no solicitados. Si considera realmente necesario acceder a un sitio aludido en el mensaje, utilice enlaces conocidos (la página principal de dicho sitio, por ejemplo), o en último caso utilice cortar y pegar para "cortar" el enlace del texto y "pegarlo" en la barra de direcciones del navegador.

2. Desconfíe siempre de un mensaje como el indicado. Cerciórese antes en los sitios principales, aún cuando el mensaje parezca "real". Toda vez que se requiera el ingreso de información confidencial, no lo haga sin estar absolutamente seguro.

3. Preste atención al hecho de que cualquier compañía responsable, le llevará a un servidor seguro para que ingrese allí sus datos, cuando estos involucran su privacidad. Una forma de corroborar esto, es observar si la dirección comienza con https: en lugar de solo http: (note la "s" al final). Un sitio con una URL https: es un sitio seguro. Pero recuerde que eso solo significa que las transferencias entre su computadora y el sitio serán encriptadas y protegidas, de ningún modo le asegura que el sitio es real.

Note que el servidor seguro, no necesariamente es al que usted ingresa cuando entra a un sitio como el de un banco. Pero si debe serlo en el momento en que ese sitio lo lleve a algún formulario para ingresar datos confidenciales.

Compruebe SIEMPRE, si al colocar el puntero del ratón sobre cualquier dirección indicada en un mensaje (sin hacer clic), el Outlook Express le muestra abajo la misma dirección.

4. Una vez en un sitio seguro, otro indicador es la presencia de un pequeño candado amarillo (o llave) en el rincón inferior a su derecha. Un doble clic sobre el mismo debe mostrarle la información del certificado de Autoridad, la que debe coincidir con el nombre de la compañía en la que usted está a punto de ingresar sus datos, además de estar vigente y ser válido.

5. Si aún cumpliéndose las dos condiciones mencionadas, duda de la veracidad del formulario, no ingrese ninguna información, y consulte de inmediato con la institución de referencia, bien vía correo electrónico (si es una dirección que siempre usó), o mejor aún en forma telefónica.

De todos modos, recuerde que prácticamente es una norma general, que NINGUNA institución responsable le enviará un correo electrónico solicitándole el ingreso de alguna clase de datos, que usted no haya concertado previamente.


Más información:

Mozilla / Firefox / Camino Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15489/

iCab Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15477/

Safari Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15474/

Opera Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15488/

Microsoft Internet Explorer Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15491/

Internet Explorer for Mac Dialog Origin Spoofing Vulnerability
http://secunia.com/advisories/15492/

Multiple Browsers Dialog Origin Vulnerability Test
http://secunia.com/multiple_browsers...rability_test/

Microsoft Security Advisory (902333)
http://www.microsoft.com/technet/sec...ry/902333.mspx
Compartir
  #1  
Creado: 23-Jun-2005, a las 19:12 Vistas: 685
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
cuadro, diálogo, multiples, navegadores, spoofing


Temas Similares
» MyFord Mobile, diálogo eléctrico entre el Focus a baterías y tu móvil - CES 2011 0
» Santiago Giraldo debuta con triunfo en cuadro principal del Masters 1.000 de Roma 0
» Internet impulsará el diálogo entre culturas según el fundador de Wikipedia 0
» Spoofing de direcciones en IE "document.open()" 0
» Spoofing durante autentificación básica HTTP en IE7 0
» Múltiples navegadores vulnerables a ataques XSS 0
» chekar mi log se pone lenta uso xp salio un cuadro tipo DOS 1
» Error de filtrado de scripts en múltiples navegadores 0
» Manejo incorrecto de cookies en múltiples navegadores 0
» 'Frame Injection' en múltiples navegadores 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 17:50.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4