Robo de usuario y contraseña en Firefox 2.0


Se ha reportado una vulnerabilidad en el navegador Firefox, la cuál puede ser explotada maliciosamente para llevar adelante ataques de phishing.





Phishing es la técnica utilizada para obtener información
confidencial mediante la suplantación de una persona o
institución legítima (generalmente por medio de un "scam",
mensaje electrónico fraudulento, o falsificación de página
web).

La vulnerabilidad en Firefox, es causada por un error del
administrador de contraseñas (Password Manager), que no
verifica apropiadamente el URL antes de completar
automáticamente los datos del usuario en los formularios de
páginas Web.

Un URL (Uniform Resources Locator o Localizador Uniforme de
Recursos), es un "apuntador" a la ubicación de cualquier
archivo, como por ejemplo una página HTML (una dirección de
Internet).

El fallo puede ser explotado por un atacante para robar las
credenciales del usuario (nombre y contraseña), sin su
conocimiento, a través de un formulario malicioso, cuando se
visita un sitio Web.

La vulnerabilidad ha sido confirmada en la versión 2.0.0,
pero versiones anteriores también podrían ser afectadas.

No existe una solución oficial al momento de esta alerta,
pero los usuarios pueden disminuir el riesgo de ser víctimas
de uno de estos robos de identidad, si desactivan la opción
que permite recordar las contraseñas de los sitios Web en las
preferencias del programa.

Está disponible una prueba de concepto con una demostración
del uso de la vulnerabilidad.

* Referencias:

Bug 360493
Cross-Site Forms + Password Manager = Security Failure
https://bugzilla.mozilla.org/show_bug.cgi?id=360493

CIS Finds Flaws in Firefox v2 Password Manager
http://www.info-svc.com/news/11-21-2006/

Firefox Password Manager Information Disclosure
http://secunia.com/advisories/23046/

* Créditos:

Robert Chapin

Fuente:
Por Angela Ruiz
vsantivirus.com



Otras noticias de interés:

Denegación de servicio en IBM Websphere 4.0.3
Un problema de desbordamiento de búfer en IBM Websphere 4.0.3 puede provocar problemas de denegación de servicio. Un usuario malicioso puede enviar una petición http mal construida y provocar con ello la caída del servidor IBM Web...
OpenOffice 2.2.1 soluciona vulnerabilidad crítica
Se ha reportado una vulnerabilidad de alto riesgo en OpenOffice durante el manejo de documentos RTF. ...
Microsoft anuncia el lanzamiento de la primera beta de Explorer 8
La compañía de Redmon lanzará su nuevo navegador de Internet durante la primera mitad de 2008...
Vulnerabilidad en IPSwitch IMail
El servicio Web Calendaring de IPSwitch Imail se ve afectado por un ataque por denegación de servicio. IMail es una paquete de software comercial distribuido y mantenido por Ipswitch que corre sobre Windows NT/2000/XP. IMail Server po...
El derecho a la propia imagen y las Redes Sociales
El derecho a la propia imagen atribuye al individuo la capacidad de decidir libremente sobre la captación, reproducción o difusión de su imagen entendida como representación gráfica de la figura humana. Este derecho faculta a las personas a difu...
Regreso al pasado vírico
Se supone que los hackers siempre tratan de buscar nuevos métodos de infección, nuevas vías para contaminar a los ordenadores de los usuarios. Pero estamos viviendo un regreso al pasado, con técnicas que nos recuerdan a los tiempos de los discos ...
Microsoft cubrirá dos fallos críticos en Windows el próximo martes
Microsoft ha anunciado que en la actualización mensual de seguridad que emitirá el próximo martes incluirá sólo dos actualizaciones para cubrir tres vulnerabilidades en Windows....
Píratas Informáticos invaden Twitter
Hay ciertos datos sobre las redes sociales que raras veces salen a la luz pública. Quizás porque no interesa, quizás porque perjudica la imagen de marca, lo cierto es que las redes sociales en especial Twitter han sufrido en innumerables ocasiones...
Google es el peor parcheador, según IBM X-Force
El informe 2010 sobre riesgos y tendencias que IBM X-Force publica a mediados de año señala a Google como una de las peores compañías a la hora de publicar parches de seguridad....
Contraseña: "ManchesterUnited"
El banco británico Egg ha descubierto que una tercera parte de los usuarios del sistema en línea del banco usa los nombres de sus hijos como contraseñas. Otros usan el nombre de su equipo de fútbol favorito y Manchester United es la contraseña m...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • contrasena
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • robo
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • usuario
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra