• Tweet

La característica Anti-phishing no es infalible...

Una compañía de seguridad ha reportado dos nuevas fallas en el navegador Mozilla Firefox que podrían dejar a los archivos guardados localmente vulnerables a ataques externos.

Ambas fallas fueron anunciadas por SecuriTeam, una división de Beyond Security, esta semana. La primera falla engaña al bloqueador de ventanas emergentes de FireFox, de acuerdo con una declaración de SecuriTeam. El navegador normalmente no permite a los sitios Web acceder a archivos almacenados localmente, de acuerdo a un reporte oficial, pero esta verificación de permisos por URL pasa por alto cuando el usuario de FireFox ha deshabilitado las ventanas emergentes manualmente. Como resultado, un atacante podría usar esta falla para robar archivos guardados localmente e información personal que se pudo almacenar en ellos.

Un posible escenario para esta clase de ataques involucraría que el usuario diera clic en un enlace malicioso, el cual, instalara un archivo equipado con código exploit en el disco duro de la computadora. A continuación, podría aparecer un aviso pidiendo al usuario que permita una ventana emergente que reproduzca un archivo de video o que lo descargue. El archivo proporcionado por el atacante podría ser cargado gracias a la falla del navegador, la cual, podría dar al atacante privilegios de lectura sobre archivos guardados localmente.

Al parecer esta falla solo pude ser explotada en versiones antiguas de FireFox, anteriores a la actual 2.0, pero Beyond Security no hizo ningún comentario al respecto.

La segunda falla, anunciada ayer por SecuriTeam, se refiere a la característica de protección de phishing de FireFox. Con esta vulnerabilidad, un phisher experimentado podría engañar al navegador para que un sitio fraudulento parezca seguro al agregar caracteres particulares en la URL de su sitio Web.

La falla de phishing parece aplicar a la versión actual de FireFox, la 2.0.0.1.

Mozilla no ha hecho ningún comentario al momento de escribir esta nota.