(hay "solution" :-)
Opera: Falsificación de nombres en diálogo de descarga
http://www.vsantivirus.com/vul-opera-111204.htm
Por Angela Ruiz
XXXangela@videosoft.net.uy
Secunia Research ha descubierto una vulnerabilidad en el navegador
Opera, la cuál puede ser explotada para engañar a un usuario confiado
a los efectos que llegue a ejecutar archivos maliciosos.
La vulnerabilidad es causada debido a que ni el nombre de archivo ni
el contenido de la cabecera cuando se usa la etiqueta "Content-Type",
son debidamente validados antes de ser mostrados en la ventana de
descarga de archivos.
Esto puede ser explotado para disfrazar cierta clase de archivos al
ser descargados, utilizando en la cabecera etiquetas
"Content-Disposition" y "Content-Type" maliciosamente modificadas con
puntos y caracteres ASCII 160 estratégicamente ubicados.
De ese modo el usuario no verá la verdadera naturaleza de ciertos
archivos, pudiendo ser engañado para ejecutar archivos maliciosos.
Software afectado:
La vulnerabilidad ha sido confirmada en Opera para Windows 7.54 y
anteriores.
Solución:
Descargar e instalar la versión 7.54u1 o superior desde el siguiente
enlace:
http://www.opera.com/download/
Créditos:
Andreas Sandblad, Secunia Research.
Referencias:
Opera Download Dialog Spoofing Vulnerability
http://secunia.com/secunia_research.../advisory/
Advisory: Opera security advisory 2004-12-10
http://www.opera.com/support/search...ml?indexx2
Opera Download Dialog Spoofing Vulnerability
http://secunia.com/advisories/12981/
(c) Video Soft -
http://www.videosoft.net.uy
(c) VSAntivirus -
http://www.vsantivirus.com
Leer las respuestas