Grave vulnerabilidad en todos los navegadores, a excepción de Internet Explorer

Puede que ya hayas oído hablar de un nuevo bug que afecta a todos los navegadores, a excepción de Internet Explorer y otras piezas arcaicas de coleccionista, publicado ayer por The Shmoo Group.

Hay una demostración en la web de Shmoo. En ella se presentan un par de enlaces que parecen abrir la web de paypal, con o sin conexión segura. Si pulsamos sobre el enlace se abrirá una web falsa, pero la url mostrada será la de paypal, www.paypal.com. Además, en el caso de usar SSL se mostrará la barra de dirección en amarillo, asi como el icono de candado que las identifica en Firefox.

El problema está relacionado con la implementación en los navegadores más modernos de un estándar llamado ‘Internationalized Domain Names’ (IDN), que permite representar nombres de dominios con letras de cualquier idioma. Lo que ocurre es que el enlace de la demostración no nos dirige a http://www.paypal.com, como puede parecer, sino a una web en la que la primera ‘a’ de ‘paypal’ se ha sustituido por otro carácter Unicode.

El navegador de Microsoft no es vulnerable, al no haber implementado aún IDN. Para Firefox y Mozilla existe una solución temporal mientras se crea un parche. Por otro lado, la gente de Opera, siempre según Shmoo, no piensa hacer ningún cambio ya que piensan que han implementado correctamente IDN.

17 comentarios en «Grave vulnerabilidad en todos los navegadores, a excepción de Internet Explorer»

  1. Al final vamos tener que pasarnos con el elinks 😀

    Por cierto, es el navegador definitivo para los currantes: puedes leer Slashdot tranquilamente y el jefe piensa que estás haciendo cosas en el terminal 😀

  2. lo mismo te interesa la extensión PaNIC para Firefox 🙄

    Muy útil para las visitas sorpresas de tu jefe. Cierra todas las pestañas del navegador y abre una página web previamente seleccionada, por defecto una búsqueda en google con el texto “increasing workplace productivity” (incrementar la productividad del lugar de trabajo).

  3. Pingback: torresburriel.com » Vulnerabilidad en todos los navegadores

  4. Pingback: torresburriel.com

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.