Se ha anunciado la existencia de una vulnerabilidad en el cuadro de
dialogo de las descargas del navegador Mozilla Firefox por la que un
usuario remoto podrá falsificar la fuente que se muestra.
El problema radica en que el navegador no muestra adecuadamente los
nombres de subdominios y rutas demasiado largas. Un usuario malicioso
con un servidor con el nombre de dominio especialmente creado y una
ruta modificada adecuadamente podrá falsificar la fuente que se muestra
en el cuadro de dialogo.
La vulnerabilidad ha sido confirmada en Mozilla 1.7.3 para Linux y
Mozilla Firefox 1.0. En la actualidad no existe solución disponible,
aunque Mozilla ha anunciado que será corregida en futuras versiones
de los productos afectados.
Más información:
Mozilla Firefox Download Dialog Source Can Be Spoofed By Remote Users
http://www.securitytracker.com/alerts/2005/Jan/1012766.html
Bugzilla Bug 275417
https://bugzilla.mozilla.org/show_bug.cgi?id=275417
Noticia extraida del boletin de seguridad una-al-dia, del grupo Hispasec
Saludos
Fernando Ferrari
a traves del blog">fernandorferrari@yahoo.com.ar
No hay comentarios.:
Publicar un comentario