|
|
 | | From: | Flavio_Suárez | | Subject: | Falha_em_vários_navegadores_permite_seq =?iso-8859-1?Q?=FCestrar_pop-ups_=28inclusive_Opera_7.x=29?= | | Date: | Fri, 10 Dec 2004 10:42:28 -0200 |
|
|
 | http://www.infoguerra.com.br
Demonstração:
http://secunia.com/multiple_browsers_window_injection_vulnerability_test/
Ídem, Português:
http://www.totalsecurity.com.br/birkoff/hijack_popup/index2.html
9/12/2004 - 16:59 Redação InfoGuerra
Foi encontrada uma vulnerabilidade que atinge múltiplos navegadores,
incluindo os mais populares entre os usuários. Classificada como crítica
moderada pela Secunia, a falha pode ser usada para ludibriar o internauta
ao apresentar falsas informações em sites considerados seguros.
Conforme os alertas da Secunia, a falha pode ser explorada remotamente
quando um usuário estiver com mais de uma aba ativa em seu navegador. Caso
uma delas pertença a um site malicioso, este poderia seqüestrar e injetar
um determinado conteúdo em janelas do tipo pop-up pertencentes a um site
legítimo, sem que o usuário perceba o ocorrido.
Estão vulneráveis os navegadores Microsoft Internet Explorer (versões
5.01, 5.5 e 6, mesmo com o XP Service Pack 1 e 2 instalados); Mozilla
(1.7.x e anteriores); Firefox (todas as versões), Opera (7.x); Netscape
(7.x); Konqueror (3.x); e Safari (1.x).
A Secunia preparou uma demonstração de exploração desta vulnerabilidade,
inclusive para navegadores que estejam com bloqueador de pop-ups
habilitado. A demonstração simula uma ação maliciosa no site do Citibank.
O site brasileiro TotalSecurity adaptou esta simulação para o português
usando o site da Globo.com como exemplo.
Como ainda não existem correções disponíveis, o conselho é para que os
usuários desabilitem a função Javascript dos navegadores, ou evitem
acessar sites confiáveis e duvidosos ao mesmo tempo.
--
Usando o M2, revolucionário cliente de e-mail do Opera:
http://www.opera.com/m2/
|
|
|
