[Seguridad] Internet Explorer 'spoofing'

*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up

emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6

parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer,

can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a

to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to

a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up

emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6

parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer,

can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a

to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to

a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up

emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6

parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer,

can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a

to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to

a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

*Por favor las replicas a microsoft.public.es.seguridad


IE pop-up Spoofing

vulnerability Reportada una falla para IE que podría ser explotada
para levar a cabo acciones de phishing. En Windows XP SP2 hay una
opción de seguridad que fuerza a mostrar la URL de una pop-up

emergente) en la barra de título cuando ésta se abra sin barra de
direcciones. El problema reside en que empleando un nombre
excesivamente largo, el contenido de la barra de título podría
falsificarse para engañar al usuario (spoofing) y hacerle creer que
pertenece a un sitio de confianza (suplantación o phishing),
induciéndole a introducir datos sensibles en dicha pop-up, que suele
ser lo habitual en casos de scam (engaños con finalidad de estafa).
Este problema ha sido confirmado en sistemas XP SP2 con IE6

parcheados. La recomendación pasa por no confiar en ventanas
emergentes después de haber seguido enlaces desde sitios que no sean
de confianza y por supuesto, no introducir en ellas datos sensibles.
Créditos: bitlance winter.

Creative Commons License
This article is licensed under a Creative Commons License
Posted by wolffete at Febrero 22, 2005 01:28 PM



Microsoft Internet Explorer Popup Title Bar Spoofing Weakness
http://secunia.com/advisories/14335/

Secunia Advisory: SA14335
Release Date: 2005-02-21
Last Update: 2005-02-22

Critical: Less critical
Impact: Spoofing
Where: From remote
Solution Status: Unpatched

Software: Microsoft Internet Explorer 6

Select a product and view a complete list of all Patched/Unpatched
Secunia advisories affecting it.

CVE reference: CAN-2005-0500

Description:
bitlance winter has discovered a weakness in Internet Explorer,

can be exploited by malicious people to conduct phishing attacks.

Windows XP SP2 has a security feature, which forces the URL of a

to the present in the title bar when a popup has been opened without
the address bar.

The problem is that the title bar can be spoofed via an overly long
hostname. This can e.g. be exploited by a malicious web site to

a user into entering sensitive information in a popup placed over a
trusted site.

The weakness has been confirmed on a fully patched system with
Internet Explorer 6.0 and Microsoft Windows XP SP2.

Solution:
Do not enter sensitive information in popups after following links
from untrusted sources.

Provided and/or discovered by:
bitlance winter

Changelog:
2005-02-22: Added CVE reference.

...un no-mvp quien se interese por la seguridad de nuestros sistemas...