Grave vulnerabilidad en todos los navegadores, a excepción de Internet Explorer

Puede que ya hayas oído hablar de un nuevo bug que afecta a todos los navegadores, a excepción de Internet Explorer y otras piezas arcaicas de coleccionista, publicado ayer por The Shmoo Group.

Hay una demostración en la web de Shmoo. En ella se presentan un par de enlaces que parecen abrir la web de paypal, con o sin conexión segura. Si pulsamos sobre el enlace se abrirá una web falsa, pero la url mostrada será la de paypal, www.paypal.com. Además, en el caso de usar SSL se mostrará la barra de dirección en amarillo, asi como el icono de candado que las identifica en Firefox.

El problema está relacionado con la implementación en los navegadores más modernos de un estándar llamado ‘Internationalized Domain Names’ (IDN), que permite representar nombres de dominios con letras de cualquier idioma. Lo que ocurre es que el enlace de la demostración no nos dirige a http://www.paypal.com, como puede parecer, sino a una web en la que la primera ‘a’ de ‘paypal’ se ha sustituido por otro carácter Unicode.

El navegador de Microsoft no es vulnerable, al no haber implementado aún IDN. Para Firefox y Mozilla existe una solución temporal mientras se crea un parche. Por otro lado, la gente de Opera, siempre según Shmoo, no piensa hacer ningún cambio ya que piensan que han implementado correctamente IDN.

Comentarios
  1. Pasaba por aquí

    Al final vamos tener que pasarnos con el elinks 😀

    Por cierto, es el navegador definitivo para los currantes: puedes leer Slashdot tranquilamente y el jefe piensa que estás haciendo cosas en el terminal 😀

    Responder

  2. lo mismo te interesa la extensión PaNIC para Firefox 🙄

    Muy útil para las visitas sorpresas de tu jefe. Cierra todas las pestañas del navegador y abre una página web previamente seleccionada, por defecto una búsqueda en google con el texto “increasing workplace productivity” (incrementar la productividad del lugar de trabajo).

    Responder

  3. Vulnerabilidad en todos los navegadores
    Lo leo via ZootropoPermanent Fix for the Shmoo Group exploit.

    Responder

  4. muy chunga la noticia… 😯 pero muy buena la extensión!! 8)

    Responder

  5. bueno, no creo que tarde demasiado en aparecer una versión que lo solucione. mozilla es famosa por ello 🙂

    Responder

  6. raro que no haya salido ningun proIE criticando a firefox de que “ellos si y nosotros no”…

    muy raro…

    Responder

  7. calla, que los estas invocando

    Responder

  8. Obvio, su ventaja se debe a su descuido, a este paso el Netscape 4 será igual de “seguro”.

    Responder

  9. hombre. es que si nos ponemos en ese plan nos dedicamos a navegar a base de telnets

    Responder

  10. Ya corrigieron el error…
    En menos de 12 horas ^^

    Responder

  11. yo que ya lo hiba a reportar en el bugzilla pero ya veo que son rapidos. Bien por esa equipo de desarrollo de Mozilla

    Responder

  12. cojonudo 🙂 ahora a ver si lo sacan en versión estable porque usar nightly builds…

    Responder

  13. es estable esta basado sobre el trunk de gecko estable la version inestable es otro trunk ahi alrato te paso la URL donde explica todo eso

    Responder

  14. ya quitaron el enlace de donde lo tenia bueno ya nimodos no te lo puedo comprobar 😕

    Responder

  15. mientras no se pase a release sigue siendo una nigthly rafaga

    Responder

  16. aqui dejo el enlace al bug de mozilla https://bugzilla.mozilla.org/show_bug.cgi?id=279099
    solo para lo que dessen ver el progreso del fix (aclaremos mientras se deshabilito el IDN ,pero estan todavia corrigiendo el codigo para evitar los ataques de dominios homograficos)

    Responder

Deja un comentario