[Seguridad] Internet Explorer 'spoofing'

23/02/2005 - 12:31 por Ubuntu | Informe spam

*Por favor las replicas a microsoft.public.es.seguridad

IE pop-up Spoofing
http://www.nautopia.net/archives/es...oofing.php

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up (ventana
emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6 plenamente
parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM

Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer, which
can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a popup
to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to trick
a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754

Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image

Siga el debate

44 respuestas

Tengo una respuesta

Preguntas similare

Mostrar todos los temas similares

Leer las respuestas

#41 anonymuss

25/02/2005 - 10:48 | Informe spam

Javier Garcia wrote on 23/02/2005 :

gracias como casi siempre ha tenido que ser un no-mvp quien se
interese por la seguridad de nuestros sistemas.

¿Y te fías de alguien que llega, deja un post y se va sin aportar
ningún tipo de solución? Por lo menos los mvp están siempre por el foro
ayudando y dando ese tipo de información que tú dices que no dan.
Además, para obtener la mayoría de las informaciones sólo hay que
visitar las páginas web de seguridad, que para algo están.

Responder a este mensaje

#42 anonymuss

25/02/2005 - 10:48 | Informe spam

Javier Garcia wrote on 23/02/2005 :