Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mozilla permite deshabilitar elementos via JavaScript
 
VSantivirus No. 1626 Año 8, domingo 19 de diciembre de 2004

 Mozilla permite deshabilitar elementos via JavaScript
http://www.vsantivirus.com/vul-mozilla-171204.htm

Por Angela Ruiz
angela@videosoft.net.uy

Ciertos elementos de estado en Mozilla y Mozilla Firefox, tales como barra de direcciones, barra de estado y controles de navegación, pueden ser deshabilitados mediante el uso de rutinas en Javascript.

Esto permite que sitios web maliciosos puedan crear ventanas de diálogo falsificadas utilizando lenguaje XUL.

XUL (XML User Interface Language), es un lenguaje basado en XML con el que Mozilla y Firefox construyen sus menús, botones, cajas de diálogo y la mayoría de los elementos que conforman su interfase de usuario (UI).

Debido a que dichos elementos pueden ser deshabilitados, es posible para un sitio web usar XUL para crear cajas de diálogo que muestren el look de las ventanas de diálogo de Mozilla y Windows, deshabilitando antes las verdaderas.

Un atacante puede hacer creer a un usuario que está visualizando un elemento de estado verdadero en Mozilla, cuando en realidad la víctima está visualizando las ventanas de un sitio controlado por el pirata.

El atacante puede usar técnicas de ingeniería social adicionales, para obligar al usuario a que ingrese información sensible, tales como tarjeta de crédito, números de cuentas, contraseñas, etc.

El pirata también puede crear ventanas emergentes falsas que no muestren la barra de direcciones.

Solución

No existe ninguna solución oficial a este problema. Se sugiere deshabilitar la posibilidad de ocultar los elementos de estado.

Realizando los siguientes pasos, es posible prevenir que JavaScript deshabilite estos elementos.

Esto hará que las páginas creadas por XUL aparezcan diferentes a los diálogos nativos de Mozilla.

1. Ingrese "about:config" (y pulse Enter) en la barra de direcciones de Mozilla y Mozilla Firefox. Esto mostrará los valores de configuración de Mozilla.

2. Configure los siguientes valores como verdaderos (true), dando doble clic en la línea correspondiente:

dom.disable_window_open_feature.titlebar
dom.disable_window_open_feature.close
dom.disable_window_open_feature.toolbar
dom.disable_window_open_feature.location
dom.disable_window_open_feature.directories
dom.disable_window_open_feature.personalbar
dom.disable_window_open_feature.menubar
dom.disable_window_open_feature.scrollbars
dom.disable_window_open_feature.resizable
dom.disable_window_open_feature.minimizable
dom.disable_window_open_feature.status

Estas preferencias pueden ser configuradas desde el archivo "user.js".

Sistemas afectados

Mozilla
Mozilla Firefox

Créditos

David Ahmad
Asa Dotzler
Will Dormann

Referencias:

Mozilla allows various status elements to be disabled via JavaScript
http://www.kb.cert.org/vuls/id/262350

El navegador Firefox facilita técnicas de phishing
http://www.vsantivirus.com/vul-firefox-xul.htm

Mozilla / Mozilla Firefox User Interface Spoofing Vulnerability
http://secunia.com/advisories/12188/

Mozilla Firefox XML User Interface Language Browser Interface Spoofing Vulnerability
http://www.securityfocus.com/bid/10832

Mozilla and Firefox user interface spoofing
http://xforce.iss.net/xforce/xfdb/16837

https://bugzilla.mozilla.org/show_bug.cgi?id=176304
http://bugzilla.mozilla.org/show_bug.cgi?id=244965
http://bugzilla.mozilla.org/show_bug.cgi?id=22183




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS