Vulnerabilidad de falsificación de URL en el Internet Explorer

[Tenshi]

Ya sé que algunos se preguntarán si vale la pena postear las vulnerabilidades que le encuentran al Internet Explorer... y se me ocurren 2 posibilidades, una alguien que quiere sumar posts a lo loco, y otra, alguien que espera con esto demostrar lo inseguro que es el IE con la esperanza de que sus usuarios se pasen a navegadores un poco, mejor dicho, mucho más seguros.

Esta vulnerabilidad consiste en que, mediante archivos de Flash se puede falsificar la dirección que aparece en la barra de direcciones del Internet Explorer. Hay una demostración realizada por la gente de Secunia, en la cual vemos como en la barra de direcciones aparece la url de google mientras el contenido de la web es otro; esta vulnerabilidad puede ser explotada sobre todo para realizar phishing

publicación en CyruxNET:

La vulnerabilidad ha sido descubierta por Hai Nam Luke y está causada por un fallo de "condición de desincronización" (Race condition) cuando se carga una web que contenga archivos en formato Macromedia Flash (.swf).

Este fallo hace que la dirección que muestra la "barra de direcciones" del Internet Explorer pueda no correspoder con el contenido real que estamos viendo en la ventana del navegador.

Este tipo de vulnerabilidades pueden ser utilizadas en ataques phising para dar mayor veracidad a la falsa web o mail.

La vulnerabilidad ha sido confirmada en sistemas con Internet Explorer 6.0 y 7 Beta 2 Preview sobre Windows XP SP1/SP2

La gente de Secunia ha creado una demostración para comprobar el fallo:
http://secunia.com/Internet_Explorer...rability_Test/

Acá podemos ver una screen subida por la gente de Kriptópolis del Internet Explorer 7 Beta 2, cuando realizan la demostración de Secunia.

más info: http://secunia.com/advisories/19521/

[Liquid_Snake]

[Tenshi]

Gracias! me había olvidado de poner las alternativas

otra buena alternativa es el Opera Web browser: