Robo de contraseñas en FF2 e IE7 | Zona Firefox

Búsqueda rápida | Archivo |
Escribe tu búsqueda:
Archivo por fechas:
Noviembre
25

Robo de contraseñas en FF2 e IE7

Por Nico. 2 comentarios. Guardado en Seguridad
Recientemente se descubró un error que afecta a Firefox 2 e IE7. Se trata de un bug mediante el cual alguien malintencionado puede robar nuestros usuarios y contraseñas. Esto puede ocurrir cuando visitamos blogs o foros, o páginas que supuestamente son seguras. Solo basta una página con un formulario que contenga campos “input” para introducir nuestros datos, el cual puede perfectamente estar oculto. El fallo fue oficialmente descubierto por Robert Chapin y se le dio el nombre de “Reverse Cross Site Request” y fue reportado a Mozilla el 12 de noviembre.

Se dice que los usuarios de Firefox son los que más deben preocuparse debido a la caracterí­stica Password Manager, que llena automáticamente formularios, mientras que IE7 no es capaz de realizar esto. Por el momento se soluciona de forma muy fácil. Simplemente le decimos que no recuerde las contraseñas cuando llenamos un formulario. O podemos deshabilitar la opción de recordar contraseñas de los sitios en las opciones del navegador. Ni Firefox ni IE están diseñados para chequear el destino de nuestros datos antes de que sean ingresados.

Secunia ha hecho público el fallo y lo considera como “Less critical” (de grado 2 en 5), aunque Mozilla lo considera como crí­tico y ya están viendo de que forma solucionarlo. También hay demostraciones para que cada uno pueda comprobar el fallo. Echen un vistazo a las siguientes páginas:

http://www.heise-security.co.uk/services/browsercheck/demos/moz/pass1.shtml

http://www.info-svc.com/news/11-21-2006/rcsr1/

Introduzcan datos en las casillas y sigan las instrucciones. Verán como quedan expuestos los datos. Incluso en el Opera 9.10, en el primer caso, si bien no muestra los datos en la página, sí­ los muestra en la barra de direcciones.

Según comenta Robert Chapin en el foro de discusón de Bugzilla, el fallo descubierto fue por visitar una página de MySpace que contení­a un formulario que enviaba datos a un servidor francés. Concretamente se trata de la siguiente página:

http://www.myspace.com/1sweetstar

Espero que haya una solución pronto a este problema. Supongo que tendrí­a que actuar el filtro anti-phishing. Por otra parte me parece que sitios como MySpace u otros que albergan a comunidades de usuarios deberí­an tener en cuenta este tipo de cosas y hacer algo al respecto.

Más información en:
http://secunia.com/advisories/23046/?answer=22
https://bugzilla.mozilla.org/show_bug.cgi?id=360493



2 comentarios en “ Robo de contraseñas en FF2 e IE7 ”

  1. a gravatar javier Noviembre 25th, 2006 , 22:36

    Mestraña

    ¿FF2?


    How do I spell Firefox? How do I abbreviate it?

    Firefox is spelled F-i-r-e-f-o-x - only the first letter capitalized (i.e. not FireFox, not Foxfire, FoxFire or whatever else a number of folk seem to think it to be called.) The preferred abbreviation is “Fx” or “fx”.

  2. a gravatar web0n Noviembre 25th, 2006 , 23:06

    Al menos se entendio, jeje. Tendrán que penalizarnos a todos lo que lo escribamos de esa forma con un cero en idioma. xD, y ni hablar de las noticias de Google News, donde robé la abreviatura. Gracias por el comentario y saludos.

Deja tu comentario

XHTML: Puedes utilizar las siguientes etiquetas : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>



Keegy