Una vulnerabilidad en Firefox favorece un ataque de phishing

Publico aquí esta noticia al considerarla de interés. Puede verse publicada en http://www.laflecha.net/canales/seg...dad-en-firefox-favorece-un-ataque-de-phishing.

Y aprovecho para proponer a nuestro Super Administrador un foro de noticias, ¿qué os parece?

Va, la noticia:

Mozilla utiliza el mismo modelo de seguridad para mantener la separación entre marcos (frames) de diferente origen. Este modelo está diseñado para prevenir que el código en la página de un dominio acceda a datos en un dominio diferente. Si dos páginas poseen el mismo protocolo (http, etc.), y el host es el mismo, Mozilla las considera como de un mismo origen, y permite el acceso cruzado a datos entre ambas páginas.

La vulnerabilidad permite engañar al navegador para que un simple cambio en el URI de un sitio, le haga creer que dos páginas de sitios diferentes, parezcan pertenecer al mismo dominio.

URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).

El problema es ocasionado por una incorrecta validación de la propiedad DOM llamada "location.hostname", lo que favorece el robo (por ejemplo), de cookies de autenticación de sitios al azar, siempre que el atacante convenza al usuario a visitar un sitio Web malicioso conteniendo una página especialmente modificada.

DOM son las siglas en inglés de Modelo del Objeto Documento, una forma de describir un documento XHTML, XML o cualquier HTML válido, de forma que sea posible acceder a determinados componentes del mismo sin necesidad de conocer su ubicación.

La vulnerabilidad puede ser utilizada en ataques de phishing, haciendo creer al usuario que está conectado a la página de su banco, cuando en realidad está enviando información a otra.

Se ha publicado una demostración del problema.

Para que el ataque tenga éxito, se debe tener habilitado JavaScript.


Software afectado:

- Mozilla Firefox version 2.0.0.1 y anteriores


Solución:

No existe aún una solución oficial. Se espera que Mozilla publique una actualización automática que corrija este problema.

Mientras tanto se recomienda deshabilitar la posibilidad de que un sitio Web acceda a la propiedad afectada.

Para ello, puede agregar la siguiente línea al archivo USER.JS:

user_pref("capability.policy.default.Location.hostname.set", "noAccess");