« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Inyección de ventanas en Netscape 7.x  (Leído 1624 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Inyección de ventanas en Netscape 7.x
« en: 10 de Diciembre de 2004, 01:35:56 pm »
Inyección de ventanas en Netscape 7.x

Secunia Research ha informado una vulnerabilidad, que afecta al navegador Netscape, y que podría ser explotada por un sitio web malicioso para engañar a usuarios desprevenidos, mostrando información falsa en ventanas desplegadas por sitios de confianza.

El problema ocurre porque cualquier sitio web puede inyectar contenido en una ventana desplegada por otro sitio, si se conoce el nombre de dicha ventana.

Para explotar esta debilidad, la víctima debe ser inducida a hacer clic sobre un enlace a otro sitio (por ejemplo un banco). Si dicho sitio abre alguna ventana, el web malicioso puede inyectar en ella cualquier contenido, sin que el usuario sospeche que el mismo no pertenece al sitio original.



Secunia ha construido una demostración en el enlace que se indica más abajo. Para comprobar si su navegador es afectado, seleccione el enlace "With Pop-up Blocker:" si tiene un protector de ventanas emergentes (por ejemplo, el que incorpora el IE 6.0 de Windows XP SP2). Seleccione "Without Pop-up Blocker:" si no posee bloqueador de ventanas emergentes.

En ambos casos, deberá abrirse una página oficial del Citibank. Luego de terminar de cargar, haga clic sobre la imagen que muestra el siguiente texto:
(!) Consumer Alert
beware of fraudulent e-mails >
Normalmente, debería abrirse una ventana emergente del banco con información para evitar fraudes. Si su navegador es vulnerable, el contenido de dicha ventana será un texto relacionado con Secunia.

Enlace a test de demostración:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/

Software vulnerable:
La vulnerabilidad ha sido confirmada en los siguientes productos:
- Netscape 7.x (inclusive 7.2)

Solución:
No existe solución oficial a este problema.

Medidas de precaución:
No abrir el navegador en sitios no seguros o desconocidos, mientras en otra ventana se navega por sitios de confianza.

Créditos:
Secunia Research

Relacionados:
Netscape Window Injection Vulnerability
http://secunia.com/advisories/13402/
Multiple Browsers Window Injection Vulnerability
http://secunia.com/secunia_research/2004-13/advisory/
Multiple Browsers Frame Injection Vulnerability
http://secunia.com/advisories/11978/
Publicado en: http://www.vsantivirus.com/vul-netscape-inyecc-081204.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.