Riesgo de phishing con about:blank en Firefox
Michal Zalewski, quien detectó la anterior vulnerabilidad en Firefox, ha detectado otra vulnerabilidad. No es grave pero puede serlo para usuarios incautos y/o principiantes, ya que si alguien quiere obtener información confidencial a modo de phishing puede inyectar código HTML y manipular a voluntad los elementos que conforman la ventana about:blank.
” Firefox sufre un fallo de diseño que puede ser utilizado para confundir a usuarios casuales y producir una falsa sensación de seguridad cuando se visita un sitio un sitio fraudulento.
El fallo puede ser utilizado también para saltarse la forma en que se reparó un antiguo problema de falsificación del interfaz de usuario.
Se trata de un tema relativamente menor, pero he pensado que merece la pena informar de él… “
Éste es el aviso de Zalewski traducido por Kriptopolis.org.
La vulnerabilidad también afecta a Internet Explorer 7, pero sólo si la opción “Permitir a páginas abrir ventanas sin barras de estado o dirección” está marcada.
Lo que recomiendo es usar, en Firefox, la extensión NoScript, ya que el script interactúa con about:blank leyendo el HTML inyectado. Y en Internet Explorer 7 desmarcar la opción “Permitir a páginas abrir ventanas sin barras de estado o dirección”.
Si teneis cuidado y no haceis nada como dar contraseñas, cuentas bancarias, etc en about:blank no os pasará nada, aunque no os bajéis el NoScript en Firefox. Si no os sentís seguros entonces bajároslo.
Cuando den una solución os la comunicaré.
Fuentes: hispasec.com y kriptopolis.
Compártelo
Recibe las novedades gratis en tu Email
