Inyección de ventanas en Netscape 7.xSecunia Research ha informado una vulnerabilidad, que afecta al navegador Netscape, y que podría ser explotada por un sitio web malicioso para engañar a usuarios desprevenidos, mostrando información falsa en ventanas desplegadas por sitios de confianza.
El problema ocurre porque cualquier sitio web puede inyectar contenido en una ventana desplegada por otro sitio, si se conoce el nombre de dicha ventana.
Para explotar esta debilidad, la víctima debe ser inducida a hacer clic sobre un enlace a otro sitio (por ejemplo un banco). Si dicho sitio abre alguna ventana, el web malicioso puede inyectar en ella cualquier contenido, sin que el usuario sospeche que el mismo no pertenece al sitio original.
Secunia ha construido una demostración en el enlace que se indica más abajo. Para comprobar si su navegador es afectado, seleccione el enlace "With Pop-up Blocker:" si tiene un protector de ventanas emergentes (por ejemplo, el que incorpora el IE 6.0 de Windows XP SP2). Seleccione "Without Pop-up Blocker:" si no posee bloqueador de ventanas emergentes.
En ambos casos, deberá abrirse una página oficial del Citibank. Luego de terminar de cargar, haga clic sobre la imagen que muestra el siguiente texto:
(!) Consumer Alert
beware of fraudulent e-mails >
Normalmente, debería abrirse una ventana emergente del banco con información para evitar fraudes. Si su navegador es vulnerable, el contenido de dicha ventana será un texto relacionado con Secunia.
Enlace a test de demostración:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/Software vulnerable:
La vulnerabilidad ha sido confirmada en los siguientes productos:
- Netscape 7.x (inclusive 7.2)
Solución:
No existe solución oficial a este problema.
Medidas de precaución:
No abrir el navegador en sitios no seguros o desconocidos, mientras en otra ventana se navega por sitios de confianza.
Créditos:
Secunia Research
Relacionados:
Netscape Window Injection Vulnerability
http://secunia.com/advisories/13402/Multiple Browsers Window Injection Vulnerability
http://secunia.com/secunia_research/2004-13/advisory/Multiple Browsers Frame Injection Vulnerability
http://secunia.com/advisories/11978/Publicado en:
http://www.vsantivirus.com/vul-netscape-inyecc-081204.htm