Browser Opera: Descarga de archivos confiables que no lo son


El mismo fallo que afecta al Internet Explorer, se produce en Opera.
Se trata de una vulnerabilidad que permite que sitios web maliciosos puedan falsificar la extensión de los archivos a descargar.
El Opera puede ser confundido para que abra un archivo con una aplicación distinta a la indicada en la extensión del mismo, lo cual se puede hacer insertando un CLSID en el nombre del archivo.





Esto podría explotarse para engañar a los usuarios, de tal modo que abran un tipo de archivo "confiable", cuando en realidad se trata de uno malicioso con distinta extensión a la mostrada.
Secunia creó un test para demostrar este fallo, que funciona en IE y Opera:
http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/
Luego de hacer clic en el enlace, si el navegador es vulnerable, se verá un cuadro de dialogo "Descargar fichero", en el cuál se mostrará el campo "Fichero" como si se tratara de un archivo ".pdf".
Si seleccionamos "abrir" en el cuadro de diálogo, el archivo será ejecutado como un HTML ejecutable en lugar de abrirse con el correspondiente visor PDF (por ejemplo Adobe Acrobat Reader). Esto pasa aun cuando el nombre del archivo parece ser "Secunia_Internet_Explorer.pdf". (Este test se hizo en base a información de http-equiv, malware.com)
El fallo afecta al Opera 7.x, y probablemente también versiones anteriores (fue testeado en 6.05, y también es vulnerable).
Recomendación:
No utilizar la opción "Abrir" un archivo al descargarlo de Internet. En su lugar siempre use "Guardar", para grabar los archivos en una carpeta, ya que de este modo sabrá la verdadera extensión del mismo.
Publicado en:
http://secunia.com/advisories/10760/
Descubierto por http-equiv de www.malware.com

Fuente:
Vsantivirus

Otras noticias de interés:

Sir Tim Berners-Lee en desacuerdo con la estúpida cultura geek masculina
El inventor de la World Wide Web, Sir Tim Berners-Lee, ha pedido terminar de una vez con la estúpida cultura geek masculina que desprecia el trabajo de mujeres ingenieras capacitadas, y que hace que otras personas desechen el entrar en la profe...
Murio el desarrollador del lenguaje de programación FORTRAN
El 17-03-2007, contando con 82 años ha muerto John W. Backus, desarrollador del lenguaje de programación FORTRAN. John Backus (Filadelfia, 3 de diciembre de 1924 - Oregon, 17 de marzo de 2007) es un informático estadounidense, ganador del Premio T...
Wine, cada vez mejor
La última versión de la reimplementación de la API Win16/32 para sistemas operativos basados en Unix y que permite ejecutar aplicaciones MS-Windows en GNU/Linux. La conclusión es que Wine es cada vez más potente y compatible. ...
Exitos y fracasos del Malware Stuxnet
Excelente artículo publicado en el sitio de seguridad hispasec.com escrito por Sergio de los Santos, donde explica en forma detallada las características del Stuxnet....
Firefox: Parche en fallo crítico
Esta es la tercera vez que Mozilla tiene que actualizar un navegador recién lanzado por un problema de seguridad....
El sitio web de phpBB es hackeado
El sitio web de phpBB, uno de los sistemas de foros más utilizados, ha sido víctima de un ataque de hackers que lograron explotar una vulnerabilidad en PHPList, un sistema utilizado para administrar listas de correo electrónico....
Proyecto ProFTPD comprometido y servidor troyanizado
Este pasado domingo 28 de noviembre el servidor principal de distribución de ficheros del proyecto ProFTPD se ha visto comprometido y la versión 1.3.3c reemplazada por otra con una puerta trasera....
Mozilla: la aceleración por hardware completa de IE 9 es mentira
En medio de la encarnizada lucha que se libra en el mercado de los navegadores, uno de los programadores de Mozilla ha acusado a Microsoft de mentir a los usuarios sobre las capacidades de aceleración por hardware de Internet Explorer 9....
Informática envolvente
En el marco del simposio Hot Chips, el director tecnológico de AMD, Mark Papermaster, habló de lo que llamó La Era de la Informática Envolvente ( Surround Computing Era ). Papermaster reveló algunos detalles de las tecnologías, metodologías de...
Usuarios ignoran que existen antivirus para móviles
Según una encuesta elaborada por ITespresso, el 42% desconoce que haya este tipo de soluciones en el mercado para su smartphone....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • archivos
  • blog
  • browser
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • confiables
  • debian
  • descarga
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • opera
  • pgp
  • php
  • sabayon
  • seguridad
  • son
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra