En todas partes cuecen habas.
Según lo que leo en el boletín 2107 de Hispasec, las versiones de Mozilla 1.7 para Linux y 1.7.1 para Windows, Firefox 0.9.1 para Linux y 0.9.2 para Windows, así como posiblemente las anteriores, sufren un grave problema mediante el cual, es posible ejecutar técnicas de phishing, una técnica muy efectiva de obtención de datos confidenciales mediante el engaño al usuario, que cree estar introduciéndolos en un sitio de su confianza cuando realmente los hace llegar a la fuente maliciosa. Una definición más extensa del phishing puede ser obtenida aquí.
Especialmente grave es el hecho de que no se trata de un problema nuevo, ya que al parecer se tiene constancia del problema desde hace 5 años, y desde entonces se ha estado «barriendo bajo la alfombra» marcando el bug como confidencial, hasta que finalmente, el pasado día 21 de julio, un desarrollador independiente publicó el aviso, generando una demostración de phising que simula la presencia en PayPal.
La manipulación de la barra de direcciones parece ser el alma mater de esta técnica phishing. En el ejemplo de spoof citado, se simula la presencia en la dirección de protocolo seguro «https:/ /www .paypal .com/» , mostrándose adicionalmente, un falso candado que simula la presunta securización SSL. Para más inri, un código en Java Script habilita una ventana flotante donde se muestra un certificado de seguridad falso que simula ser legítimo, si pulsamos el icono del candado para obtener información sobre el presunto certificado.
De juzgado de guardia, sinceramente.
Más información en este enlace de VS Antivirus.