Se anunció una vulnerabilidad en Mozilla y Firefox
que permitiría a sitios web maliciosos falsificar el interfaz de usuario,
lo que puede inducir al usuario a creer que se encuentra en un sitio diferente
y ser empleado para realizar ataques de phishing.
El problema, que parece ser el mismo que el identificado como 244965
en Mozilla, reside en que estos productos no restringen a los
sitios web la inclusión de archivos XUL remotos
de tal manera que se puede secuestrar la mayor parte del interfaz, incluyendo
la barra de herramientas, los diálogos de certificados SSL,
etc.
Este bug fue mencionado por primera vez en 1999, pero fue marcado como confidencial
durante 5 años, hasta que el pasado día 21 un desarrollador independiente
publicó el aviso. Se tiene constancia de la existencia de código
de prueba de concepto que hace creer al usuario que se está utilizando
un certificado válido de PayPal.
Este problema ha sido confirmado en Mozilla 1.7 para Linux
y 1.7.1 para Windows, Firefox 0.9.1
para Linux y 0.9.2 para Windows.
