Riesgo de phishing con about:blank en Firefox

22 02 2007

Michal Zalewski, quien detectó la anterior vulnerabilidad en Firefox, ha detectado otra vulnerabilidad. No es grave pero puede serlo para usuarios incautos y/o principiantes, ya que si alguien quiere obtener información confidencial a modo de phishing puede inyectar código HTML y manipular a voluntad los elementos que conforman la ventana about:blank.

” Firefox sufre un fallo de diseño que puede ser utilizado para confundir a usuarios casuales y producir una falsa sensación de seguridad cuando se visita un sitio un sitio fraudulento.

El fallo puede ser utilizado también para saltarse la forma en que se reparó un antiguo problema de falsificación del interfaz de usuario.

Se trata de un tema relativamente menor, pero he pensado que merece la pena informar de él… “

Éste es el aviso de Zalewski traducido por Kriptopolis.org.

La vulnerabilidad también afecta a Internet Explorer 7, pero sólo si la opción “Permitir a páginas abrir ventanas sin barras de estado o dirección” está marcada.

Lo que recomiendo es usar, en Firefox, la extensión NoScript, ya que el script interactúa con about:blank leyendo el HTML inyectado. Y en Internet Explorer 7 desmarcar la opción “Permitir a páginas abrir ventanas sin barras de estado o dirección”.

Si teneis cuidado y no haceis nada como dar contraseñas, cuentas bancarias, etc en about:blank no os pasará nada, aunque no os bajéis el NoScript en Firefox. Si no os sentís seguros entonces bajároslo.

Cuando den una solución os la comunicaré.

Fuentes: hispasec.com y kriptopolis.

Anuncios

Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s