[Seguridad] Internet Explorer 'spoofing'

23/02/2005 - 12:31 por Ubuntu | Informe spam
*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing
http://www.nautopia.net/archives/es...oofing.php

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up (ventana
emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6 plenamente
parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer, which
can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a popup
to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to trick
a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.


Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
 

Leer las respuestas

#1 Javier Garcia
23/02/2005 - 20:17 | Informe spam
Ubuntu :

yo de momento estoy con la ultima version de firefox hasta que
microsoft lo solucione...

gracias como casi siempre ha tenido que ser un no-mvp quien se
interese por la seguridad de nuestros sistemas.

*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing



http://www.nautopia.net/archives/es...oofing.php

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up


(ventana
emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6


plenamente
parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer,


which
can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a


popup
to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to


trick
a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

Preguntas similares