viernes, 16 de febrero de 2007

CIS Finds Flaws in Firefox v2 Password Manager

Hola a todos de nuevo, éste bug no es muy antiguo, y esta publicado en ForoHack.

Logo Firefox

Un nuevo bug (ver definiciones) en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador, siempre que se trate de un foro o un sitio web donde el atacante tenga permitido insertar un campo input en HTML (es decir, un formulario, que bien puede ir oculto).

Según Secunia están afectados Firefox 2 y Firefox 1.x, y según el descubridor también lo está -aunque en un grado menor- Explorer…

Quien desee bucear en los detalles técnicos (bastante complejos y aún no totalmente aclarados) dispone de la información pertinente en la web del descubridor y en la sección dedicada a este bug en Mozilla.

También se ha publicado una demostración en el web del descubridor. La forma de ejecutarla es la siguiente: elegimos un nombre de usuario y una contraseña para el sitio, y los guardamos en Firefox cuando salte el aviso correspondiente. Al acceder a la siguiente página y pulsar sobre el vídeo que se muestra, seremos redirigidos a Google, pudiendo observar en el campo de la dirección URL que nuestro nombre de usuario y contraseña han quedado expuestos a un web distinto del original.

Por mi parte sólo he sido capaz de reproducir el bug en Firefox 2.0 para Windows XP y Mac OS X. No he podido reproducirlo bajo Linux (el enlace me ha llevado a YouTube, y no a Google). Con Explorer 7 en Windows XP ni siquiera se me ha cargado la página, que es rechazada con un mensaje de error.

(Si queréis más información podéis visitar el link de Forohack que puse un poco más arriba ;))

Viá: www.rzw.com.ar

 

Visitante número:
ContactosPensionesTiendasCampingPracticas