[Solucion temporal dentro] Anuncian bug que afecta a Firefox, pero no a Explorer

08/02/2005 - 17:20 por Ubuntu | Informe spam
*Por favor las replicas a microsoft.public.es.seguridad


Internet Explorer *NO ES VULNERABLE* a este bug porque no soporta las
IDN (International Domain Name), por eso no es vulnerable.

Quién tenga instalado Mozilla Firefox tiene que configurarlo de la
siguiente manera:

1. Abrir Firefox/Mozilla
2. Teclea "about:config" + [Intro] (en la barra de direcciones).
3. Busca la línea que ponga "network.enableIDN" y haz doble click.
4. Cambiar el valor de "True (activado)" a FALSE (desactivado)".
5. Cierra Firefox/Mozilla y vuelve a hacer el test en este link:
http://secunia.com/multiple_browser...fing_test/
6. Si al realizar el test (ver punto 5) en lugar de aparecer la Web de
PayPal, se visualiza una pagina de Secunia sigues siendo
vulnerable.

Nota: A mí la solución temporal en entornos no-windows me ha
funcionado, me falta probarlo en entornos windows.

Consejos:

No seguir link a zonas pocos seguras.
Teclear directamente la dirección Web a donde quiera ir.

Ver los comentarios de la noticia, para soluciones alternativas.
http://www.kriptopolis.org/node/334


Anuncian bug que afecta a Firefox, pero no a Explorer
http://www.kriptopolis.org/node/334

Tal y como algunos venían anunciando, sólo era cuestión de tiempo
demostrar que Firefox tampoco es la panacea de los navegadores web. De
hecho, acaba de anunciarse un bug de Firefox (y algunos otros
navegadores) que -al menos por esta vez- deja tranquilos a los
usuarios de Microsoft Internet Explorer.

Los lectores de Kriptópolis pueden comprobar su navegador en esta
página. Basta hacer click sobre cualquiera de los dos enlaces
propuestos para que se nos presente una URL falsa de PayPal (con y sin
SSL)...

ACTUALIZACIÓN: Pese a que la solución provisional mencionada en este
artículo parece haber sido sugerida por Mozilla a los descubridores
del bug (según se dice en el propio advisory), no parece funcionar en
todos los casos: mi propio Firefox, con IDN presuntamente
deshabilitado, sigue mostrándose vulnerable a la demo tras
rearrancarlo. ¿Soy el único...?

El fallo radica en la implementación de IDN (International Domain
Name) en Firefox. Sin embargo, no se trata de que Microsoft haya hecho
una implementación más segura en su Explorer, sino que sencillamente
no soporta IDN, lo que sitúa a sus usuarios a salvo del fallo.

Los usuarios de Firefox han de acudir a una solución provisional(* ver
actualización, más arriba): desactivar el soporte IDN. Para ello
teclee about:config en la barra de direcciones de Firefox. Busque la
línea que dice network.enableIDN. Haga doble click sobre esa línea
para cambiar el valor de True a False. Acuda de nuevo a la página de
demostración y compruebe que los enlaces se han vuelto inofensivos.


::: Contenidos bajo Licencia Creative Commons si no se indica lo contrario :::
http://creativecommons.org/licenses...es/deed.es


Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image
 

Leer las respuestas

#1 Marc [MVP Windows]
08/02/2005 - 18:14 | Informe spam
Update: Many users are reporting the config change in Firefox does not work, currently there is no fix for Firefox.

http://www.neowin.net/


Saludos

Marc
MCP - MVP Windows Shell/User
Oracle9i Certified Associate (OCA)
NOTA. Por favor, las preguntas y comentarios en los grupos, así nos beneficiamos todos.

Este mensaje se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.

"Ubuntu" escribió en el mensaje news:4208e77b$0$29283$
*Por favor las replicas a microsoft.public.es.seguridad


Internet Explorer *NO ES VULNERABLE* a este bug porque no soporta las
IDN (International Domain Name), por eso no es vulnerable.

Quién tenga instalado Mozilla Firefox tiene que configurarlo de la
siguiente manera:

1. Abrir Firefox/Mozilla
2. Teclea "about:config" + [Intro] (en la barra de direcciones).
3. Busca la línea que ponga "network.enableIDN" y haz doble click.
4. Cambiar el valor de "True (activado)" a FALSE (desactivado)".
5. Cierra Firefox/Mozilla y vuelve a hacer el test en este link:
http://secunia.com/multiple_browser...fing_test/
6. Si al realizar el test (ver punto 5) en lugar de aparecer la Web de
PayPal, se visualiza una pagina de Secunia sigues siendo
vulnerable.

Nota: A mí la solución temporal en entornos no-windows me ha
funcionado, me falta probarlo en entornos windows.

Consejos:

No seguir link a zonas pocos seguras.
Teclear directamente la dirección Web a donde quiera ir.

Ver los comentarios de la noticia, para soluciones alternativas.
http://www.kriptopolis.org/node/334


Anuncian bug que afecta a Firefox, pero no a Explorer
http://www.kriptopolis.org/node/334

Tal y como algunos venían anunciando, sólo era cuestión de tiempo
demostrar que Firefox tampoco es la panacea de los navegadores web. De
hecho, acaba de anunciarse un bug de Firefox (y algunos otros
navegadores) que -al menos por esta vez- deja tranquilos a los
usuarios de Microsoft Internet Explorer.

Los lectores de Kriptópolis pueden comprobar su navegador en esta
página. Basta hacer click sobre cualquiera de los dos enlaces
propuestos para que se nos presente una URL falsa de PayPal (con y sin
SSL)...

ACTUALIZACIÓN: Pese a que la solución provisional mencionada en este
artículo parece haber sido sugerida por Mozilla a los descubridores
del bug (según se dice en el propio advisory), no parece funcionar en
todos los casos: mi propio Firefox, con IDN presuntamente
deshabilitado, sigue mostrándose vulnerable a la demo tras
rearrancarlo. ¿Soy el único...?

El fallo radica en la implementación de IDN (International Domain
Name) en Firefox. Sin embargo, no se trata de que Microsoft haya hecho
una implementación más segura en su Explorer, sino que sencillamente
no soporta IDN, lo que sitúa a sus usuarios a salvo del fallo.

Los usuarios de Firefox han de acudir a una solución provisional(* ver
actualización, más arriba): desactivar el soporte IDN. Para ello
teclee about:config en la barra de direcciones de Firefox. Busque la
línea que dice network.enableIDN. Haga doble click sobre esa línea
para cambiar el valor de True a False. Acuda de nuevo a la página de
demostración y compruebe que los enlaces se han vuelto inofensivos.


::: Contenidos bajo Licencia Creative Commons si no se indica lo contrario :::
http://creativecommons.org/licenses...es/deed.es


Constitución Europea.
http://www.constitucioneuropea.es/index.jsp

Para pedir ejemplares *gratuitos* de la Constitución Europea.
http://www.constitucioneuropea.es/i...d"754


Galería de imagenes Ubuntu Linux (Español).
http://www.ubuntu-es.org/image

Preguntas similares