NoScript
Para quienes ignoran que es NoScript, es un plugin para el Mozilla Firefox que bloquea cualquier código malicioso de páginas que no estén en la lista blanca de sitios en los cuales se confía (por ejemplo su banco, dragonjar, etc…), Podrás bloquear Java, Javascript y otros elementos, bien temporalmente o de forma definitiva.
Citaré 2 noticias sobre vulnerabilidades en las cuales NoScript ha podido evitar que nos veamos afectados.
La primera noticia, una vulnerabilidad descubierta por Giorgio Maone (creador de NoScript) la cual permite la creación de popups que cubran toda la pantalla sin la posibilidad de poderse cerrar.
Este fallo puede ser utilizado para phising, malware, spyware, etc… ya que se puede engañar al usuario con un pantallazo falso dando la sensación que se está en el escritorio real o en el navegador, cuando en realidad se encuentra en una popup.
Giorgio ha publicado varias pruebas de concepto que les enseñare a continuación
- La primera prueba hace uso de LiveConnect y requiere unas pocas líneas de Javascript, pero sólo funciona en Opera y navegadores basados en el motor Gecko (como Firefox).
- La segunda prueba es puro Java y funciona en todos los navegadores (Explorer, Opera, Firefox, Safari…)
En ambos casos el resultado es preocupante.
Aunque sin duda los usuarios avanzados encontrarán formas de cerrar la ventana en su sistema, podemos imaginar la repercusión de una explotación de este fallo en millones de usuarios menos enterados.
El segundo fallo del cual les comento ha sido discutido ampliamente en Kriptopolis (Parte 1, Parte 2) y consiste en una vulnerabilidad del Mozilla Firefox y la forma en que valida los archivos JAR que son utilizados internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos. (leer toda la noticia)
Aqui otra noticia en la cual NoScript pasa a ser el Heroe
Espero que después de esto instalen el NoScript, se que es un poco molesto al principio pero piensa que te está protegiendo 