Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Suplantación de sitios de confianza en Mozilla
 
VSantivirus No. 1514 Año 8, domingo 29 de agosto de 2004

Suplantación de sitios de confianza en Mozilla
http://www.vsantivirus.com/vul-mozilla-290804.htm

Por Angela Ruiz
angela@videosoft.net.uy


Mozilla, Mozilla Firefox, y Mozilla Thunderbird, pueden permitir que páginas Web maliciosas falsifiquen las propiedades de un sitio de confianza.

Un atacante podría explotar esto para falsificar la dirección (URI) y el contenido de un certificado SSL de un sitio de confianza.

Un URI (siglas de Identificador Universal de Recursos en inglés), es una sintaxis que permite el acceso a objetos disponibles en Internet, utilizando diferentes protocolos, como HTTP:, HTTPS:, etc.

SSL (Secure Socket Layer), es un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro.

Este fallo, puede hacer que un sitio malicioso, tome las propiedades de un sitio de confianza, con la posibilidad de obtener de un usuario desprevenido, información crítica, o incluso realizar acciones delictivas (transacciones bancarias, uso de tarjeta de crédito, etc.)

No se requiere un exploit para tomar ventaja de esta vulnerabilidad, y se ha publicado una prueba de concepto con un simple código en JavaScript que lo demuestra.

Algunos vendedores han realizado avisos de alerta, pero aún no han actualizado sus productos (Avaya).

Otros, ya disponen de parches o actualizaciones (RedHat, Mozilla, Slackware, Mandrake Linux, SGI, Gentoo, etc.)

Software vulnerable:

- Avaya Network Routing
- Compaq Tru64 5.1 b PK4 (BL25), PK3(BL24)
- Compaq Tru64 5.1 a PK6(BL24)
- Gentoo Linux 1.4
- MandrakeSoft Linux Mandrake 9.2 y 9.2 amd64
- MandrakeSoft Linux Mandrake 10.0 y 10.0 AMD64
- Mozilla Browser 0.8 a 1.7.1
- Mozilla Firefox 0.8 a 0.9.2
- Mozilla Thunderbird 0.7 a 0.7.2
- SGI Advanced Linux Environment 3.0

No son vulnerables los siguientes productos:

- Mozilla Browser 1.7.2
- Mozilla Firefox 0.9.3
- Mozilla Thunderbird 0.7.3


Soluciones

En el caso de las versiones para Linux, se recomienda seguir las indicaciones de las diferentes distribuciones.

A los usuarios de Windows y Mac OS X, se sugiere instalar las versiones Mozilla Browser 1.7.2, Mozilla Firefox 0.9.3 o Mozilla Thunderbird 0.7.3 (o superiores).


Descargas de actualizaciones:

Mozilla Thunderbird:
http://www.mozilla.org/products/thunderbird/

Mozilla Firefox:
http://www.mozilla.org/products/firefox/

Mozilla Browser:
http://www.mozilla.org/products/mozilla1.x/


Creditos: "E.Kellinis" < me@cipher.org.uk >


Referencias:

Advisory: 20040802-01-U:
SGI Advanced Linux Environment 3 Security Update #9
http://www.securityfocus.com/advisories/7070

Advisory: GLSA 200408-22:
Mozilla, Firefox, Thunderbird: New releases fix vulnerabilities
http://www.securityfocus.com/advisories/7096

Advisory: HPSBTU01063: SSRT4778 - rev.2
Mozilla Application Suite for HP Tru64 UNIX
http://www.securityfocus.com/advisories/7105

Advisory: MDKSA-2004:082:
Updated mozilla packages fix multiple vulnerabilities
http://www.securityfocus.com/advisories/7068

Advisory: SSA:2004-223-01: Mozilla
http://www.securityfocus.com/advisories/7059

Mozilla Firefox Certificate Spoofing
http://www.securityfocus.com/archive/1/369953

Re: Mozilla Firefox Certificate Spoofing
http://www.securityfocus.com/archive/1/370113

Known Vulnerabilities in Mozilla
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla Firefox Home Page
http://www.mozilla.org/products/firefox/

Mozilla Homepage
http://www.mozilla.org/

RHSA-2004:421-17 - Updated mozilla packages fix security issues
http://rhn.redhat.com/errata/RHSA-2004-421.html





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS