« anterior próximo »
Páginas: [1]   Ir Abajo

Autor Tema: Mozilla/Firefox: aumento de privilegios en scripts  (Leído 1633 veces)

Desconectado Danae

  • Iniciado
  • *****
  • Mensajes: 3211
  • Casi siempre en el armario.
    • windowsfacil, primeros pasos con windows y el pc
Mozilla/Firefox: aumento de privilegios en scripts
« en: 20 de Septiembre de 2004, 07:53:22 pm »
Mozilla/Firefox: aumento de privilegios en scripts

Mozilla utiliza un conjunto de funciones para mantener la seguridad con el código Javascript. Uno de los usos más comunes, es agregar una línea de código solicitando permiso para habilitar el privilegio que permita a una escritura conseguir acceso a un objetivo (un privilegio o capacidad, es una identificación especial que da a un script un aumento de nivel de acceso a la computadora del usuario).

Ha sido reportada una vulnerabilidad en el método "enablePrivilege" de Mozilla. Debido a que el argumento para esta función es usado como un texto en una ventana de diálogo si el usuario no ha accedido previamente, es posible manipular el contenido de esa ventana.

Un atacante remoto puede explotar esta condición para influenciar a la víctima a los efectos que permita la ejecución de scripts maliciosos, aún cuando su script requiera estar firmado.

Una prueba de concepto está disponible en el siguiente enlace:
http://bugzilla.mozilla.org/attachment.cgi?id=154932&action=view
La prueba utiliza la función "Netscape .security .PrivilegeManager .enablePrivilege", usando como argumento un texto donde se le solicita al usuario confirmar cierta acción. De aceptarlo, estará habilitando los privilegios al script del atacante.
El problema ha sido solucionado en las versiones Mozilla 1.7.3 y Firefox Preview Release:
Mozilla Upgrade Firefox Preview Release
http://www.mozilla.org/products/firefox/releases/0.10.html
Mozilla Upgrade Mozilla 1.7.3
http://www.mozilla.org/releases/

Software vulnerable:
Mozilla Browser 1.7 rc3
Mozilla Browser 1.7
Mozilla Browser 1.7.1
Mozilla Browser 1.7.2
Mozilla Firefox 0.9 rc
Mozilla Firefox 0.9
Mozilla Firefox 0.9.1
Mozilla Firefox 0.9.2
Mozilla Firefox 0.9.3

Software NO vulnerable:
Mozilla Browser 1.7.3
Mozilla Firefox Preview Release

Créditos: Jesse Ruderman <[email protected]>.
Referencias:
EnablePrivilege parameter
can change the meaning of the dialog
http://bugzilla.mozilla.org/show_bug.cgi?id=253942
Publicado en: http://www.vsantivirus.com/vul-mozilla-privilege-190904.htm
En línea
Páginas: [1]   Ir Arriba
« anterior próximo »
 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License
creative commons.