Lunes 23 de Diciembre de 2024, 04:44
SoloCodigo
Bienvenido(a),
Visitante
. Por favor,
ingresa
o
regístrate
.
¿Perdiste tu
email de activación?
Inicio
Foros
Chat
Ayuda
Buscar
Ingresar
Registrarse
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Vulnerabilidades
(Moderador:
RadicalEd
) »
Spoofing De Uri En Mozilla, Firefox Y Thunderbird
« anterior
próximo »
Imprimir
Páginas: [
1
]
Autor
Tema: Spoofing De Uri En Mozilla, Firefox Y Thunderbird (Leído 1495 veces)
RadicalEd
Moderador
Mensajes: 2430
Nacionalidad:
Spoofing De Uri En Mozilla, Firefox Y Thunderbird
«
en:
Miércoles 16 de Marzo de 2005, 20:51 »
0
Información extraida de
vsantivirus
Se ha reportado que Mozilla Suite, Firefox y Thunderbird, son propensos a una debilidad que permite engañar (spoofing) al usuario sobre la verdadera URI cuando se utiliza la opción "Save Link as..." (Grabar enlace como...), invocada desde un enlace HTML malicioso.
URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario @ dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).
Este problema puede ser aprovechado por un atacante para mostrar información falsa en la barra de estado. Un usuario confiado, puede ser engañado al descargar archivos cuyo origen podría parecer un sitio de confianza, cuando se trata de código o enlaces maliciosos a sitios dudosos. Esto puede facilitar ataques basados en una falsa sensación de confianza.
Se ha publicado el siguiente código como prueba de concepto:
<!--html--></div><table border='0' align='center' width='95%' cellpadding='3' cellspacing='1'><tr><td>
HTML
</td></tr><tr><td id='CODE'><!--html1--><
h1
>Firefox 1.01 : spoofing status bar without using JavaScript<
/h1
>
<
p
>Save the New Features about Firefox 1.02 ( PDF 20K )<
/p
>
<
p
>Right Click and Save Link as ...<
p
>
<
div
>
<
a href
="
http://www.mozilla.org/features_ff102.pdf
">
<
table
><
tr
><
td
>
<
a href
="
http://www.tpc.org/tpch/spec/tpch2.1.0.pdf
">
download : [URL=http://www.mozilla.org/features_ff102.pdf]
http://www.mozilla.org/features_ff102.pdf[/URL]
<
/a
><!
-- first --
>
<
/td
><
/tr
><
/table
>
<
/a
><!
-- second --
>
<
/div
> <!--html2--></td></tr></table><div class='postcolor'><!--html3-->
En el ejemplo, si el usuario acepta la sugerencia de grabar el enlace con el botón derecho, se descargaría un archivo del sitio "
www.tpc.org
" mientras la víctima creería estar haciéndolo de "
www.mozilla.org
".
Software vulnerable:
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Browser 1.7.6
- Mozilla Firefox Preview Release
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1
- Mozilla Thunderbird 0.6
- Mozilla Thunderbird 0.7
- Mozilla Thunderbird 0.7.1
- Mozilla Thunderbird 0.7.2
- Mozilla Thunderbird 0.7.3
- Mozilla Thunderbird 0.8
- Mozilla Thunderbird 0.9
- Mozilla Thunderbird 1.0
- Mozilla Thunderbird 1.0.1
No se conocen soluciones al momento de la publicación de este aviso.
Tweet
El pasado son solo recuerdos, el futuro son solo sueños
Imprimir
Páginas: [
1
]
« anterior
próximo »
SoloCodigo
»
Foros
»
Informática en general
»
Seguridad y Criptografía
»
Vulnerabilidades
(Moderador:
RadicalEd
) »
Spoofing De Uri En Mozilla, Firefox Y Thunderbird