Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

[Seguridad] Internet Explorer 'spoofing'

23/02/2005 - 12:31 por Ubuntu | Informe spam
Ayuda Hacer una pregunta
*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing
http://www.nautopia.net/archives/es...oofing.php

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up (ventana
emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6 plenamente
parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer, which
can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a popup
to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to trick
a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.


Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
email Siga el debateRespuesta 44 respuestasRespuesta Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#36 noSign
24/02/2005 - 23:04 | Informe spam
doy fe de ello...

saludos.


"Enrique [MVP Windows]" escribió en el mensaje
news:
"...asin que si le molesta que le de las gracias a ubuntu lo siento
profundamente...




No. No me molesta que le dés las gracias a ubuntu. Lo que me molesta es
que digas tonterías y mentiras que no son ciertas. Busca mensajes míos
en este y otros grupos, si es que sabes buscarlos, y comprueba cuántos
de ellos versan sobre seguridad. Precisamente, si hay alguien que se
preocupa por la seguridad de los usuarios, yo soy uno de los pocos que
lo hacen. No me gusta que se digan mentiras en este grupo.



Saludos,
Enrique Cortés
Microsoft MVP - Windows - IE/OE
(quita la Z)

Programa MVP de Microsoft
http://mvp.support.microsoft.com/de...ES;mvpfaqs

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.
This posting is provided "AS IS" with no warranties, and confers no
rights.
________________________________________________________________________________
"Javier Garcia" escribió en el mensaje
news:%
"Enrique [MVP Windows]" :

pues mire sr. enrique parece que ubuntu si se preocupa, por los menos
nos da información y para mi eso es muy importante...la mitad de las
cosas no las entiendo pero para eso tengo a mi guru en mi empresa que
me lo explcia para que lo entienda, esa es la suerte que tengo

y mas todavia me dice como tomar medidas contra eso y las alternativas
que el ve como profesional técnico que es.

asin que si le molesta que le de las gracias a ubuntu lo siento
profundamente, asin no tengo que andar leyendo por hay mucha
información y aqui me la dan resumida.

y cuando digo que un no-mvp da esa inforamción, es que parece que los
mvp tienen miedo de darla, cuando to el mundo sabe que todos los
sistemas pueden tener fallos pero ocultarlos no va hacer que
desaparezcan

ma costao entender lo de la seguridad y mantener mi equipo limpio de
muchas amenazas, y ubuntu en este caso aporta su granito al igual que
usted en otros temas

Claro..., nosotros no nos preocupamos nunca por la seguridad de los
sistemas...
Respuesta Responder a este mensaje
#37 fermu
24/02/2005 - 23:09 | Informe spam
Hash: SHA1

Fue el Jueves, 24 de Febrero de 2005 22:07 cuando Javier Garcia escribio:

si le molesta que le de las gracias a ubuntu




Me apostaría la cabeza, a que ubuntu y tu sois la misma persona... ;-)
Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
#38 fermu
24/02/2005 - 23:09 | Informe spam
Hash: SHA1

Fue el Jueves, 24 de Febrero de 2005 22:07 cuando Javier Garcia escribio:

si le molesta que le de las gracias a ubuntu




Me apostaría la cabeza, a que ubuntu y tu sois la misma persona... ;-)
Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
#39 fermu
24/02/2005 - 23:09 | Informe spam
Hash: SHA1

Fue el Jueves, 24 de Febrero de 2005 22:07 cuando Javier Garcia escribio:

si le molesta que le de las gracias a ubuntu




Me apostaría la cabeza, a que ubuntu y tu sois la misma persona... ;-)
Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
#40 fermu
24/02/2005 - 23:09 | Informe spam
Hash: SHA1

Fue el Jueves, 24 de Febrero de 2005 22:07 cuando Javier Garcia escribio:

si le molesta que le de las gracias a ubuntu




Me apostaría la cabeza, a que ubuntu y tu sois la misma persona... ;-)
Saludos
Fernando M. / Registered Linux User #367696
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente AnteriorRespuesta Tengo una respuesta
Search Busqueda sugerida