Mozilla permite deshabilitar elementos via JavaScriptCiertos elementos de estado en Mozilla y Mozilla Firefox, tales como barra de direcciones, barra de estado y controles de navegación, pueden ser deshabilitados mediante el uso de rutinas en Javascript.
Esto permite que sitios web maliciosos puedan crear ventanas de diálogo falsificadas utilizando lenguaje XUL.
XUL (XML User Interface Language), es un lenguaje basado en XML con el que Mozilla y Firefox construyen sus menús, botones, cajas de diálogo y la mayoría de los elementos que conforman su interfase de usuario (UI).
Debido a que dichos elementos pueden ser deshabilitados, es posible para un sitio web usar XUL para crear cajas de diálogo que muestren el look de las ventanas de diálogo de Mozilla y Windows, deshabilitando antes las verdaderas.
Un atacante puede hacer creer a un usuario que está visualizando un elemento de estado verdadero en Mozilla, cuando en realidad la víctima está visualizando las ventanas de un sitio controlado por el pirata.
El atacante puede usar técnicas de ingeniería social adicionales, para obligar al usuario a que ingrese información sensible, tales como tarjeta de crédito, números de cuentas, contraseñas, etc.
El pirata también puede crear ventanas emergentes falsas que no muestren la barra de direcciones.
Solución
No existe ninguna solución oficial a este problema. Se sugiere deshabilitar la posibilidad de ocultar los elementos de estado.
Realizando los siguientes pasos, es posible prevenir que JavaScript deshabilite estos elementos.
Esto hará que las páginas creadas por XUL aparezcan diferentes a los diálogos nativos de Mozilla.
1. Ingrese "about:config" (y pulse Enter) en la barra de direcciones de Mozilla y Mozilla Firefox. Esto mostrará los valores de configuración de Mozilla.
2. Configure los siguientes valores como verdaderos (true), dando doble clic en la línea correspondiente:
dom.disable_window_open_feature.titlebar
dom.disable_window_open_feature.close
dom.disable_window_open_feature.toolbar
dom.disable_window_open_feature.location
dom.disable_window_open_feature.directories
dom.disable_window_open_feature.personalbar
dom.disable_window_open_feature.menubar
dom.disable_window_open_feature.scrollbars
dom.disable_window_open_feature.resizable
dom.disable_window_open_feature.minimizable
dom.disable_window_open_feature.status
Estas preferencias pueden ser configuradas desde el archivo "user.js".
Sistemas afectados
Mozilla
Mozilla Firefox
Créditos
David Ahmad
Asa Dotzler
Will Dormann
Referencias:
Mozilla allows various status elements to be disabled via JavaScript
http://www.kb.cert.org/vuls/id/262350El navegador Firefox facilita técnicas de phishing
http://www.vsantivirus.com/vul-firefox-xul.htmMozilla / Mozilla Firefox User Interface Spoofing Vulnerability
http://secunia.com/advisories/12188/Mozilla Firefox XML User Interface Language Browser Interface Spoofing Vulnerability
http://www.securityfocus.com/bid/10832Mozilla and Firefox user interface spoofing
http://xforce.iss.net/xforce/xfdb/16837https://bugzilla.mozilla.org/show_bug.cgi?id=176304http://bugzilla.mozilla.org/show_bug.cgi?id=244965http://bugzilla.mozilla.org/show_bug.cgi?id=22183Publicado en:
http://www.vsantivirus.com/vul-mozilla-171204.htm
