Autor Tema: Firefox Grave vulnerabilidad en extensiones  (Leído 680 veces)

Desconectado Danae

  • Administrator
  • *
  • Mensajes: 3194
  • Casi siempre en el armario.
    • windowsfacil,  primeros pasos con windows y el pc
Firefox Grave vulnerabilidad en extensiones
« en: 09 de Mayo de 2005, 06:31:00 pm »
Grave vulnerabilidad en extensiones de Mozilla Firefox

Una nueva vulnerabilidad considerada muy crítica ha sido identificada en Mozilla Firefox, la cuál puede ser explotada por atacantes remotos para ejecutar comandos en forma arbitraria.

El problema se produce por un error de validación cuando se procesa un código JavaScript modificado maliciosamente con un parámetro "src" en una etiqueta "IFRAME" o en el parámetro "iconURL" en la función "InstallTrigger.install()", la cuál es llamada cuando se instalan extensiones (extension/theme add-ons).

Esto puede ser explotado por una página web o un correo electrónico malicioso, para eludir las restricciones de seguridad e inyectar código JavaScript en el contexto de un archivo "chrome" (este tipo de archivo contiene todas las partes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

Se han publicado varias pruebas de concepto y exploits que abren una ventana de comandos, o descargan y ejecutan un archivo desde una página web, por lo que el riesgo para quienes utilizan Firefox es muy grande.

Software vulnerable:- Mozilla Firefox Preview Release
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1
- Mozilla Firefox 1.0.2
- Mozilla Firefox 1.0.3

Soluciones
No existen soluciones al momento de la primera publicación de este aviso.
Se recomienda deshabilitar JavaScript:
- En Firefox, seleccionar el menú de Herramientas, Opciones, Características Web (Web Features), desmarcar la casilla "Habilitar JavaScript" (Enable JavaScript).

Referencias:
- Referencia en FrSIRT: FrSIRT/ADV-2005-0493
http://www.frsirt.com/english/advisories/2005/0493
http://www.frsirt.com/exploits/20050507.firefox0day.php

Relacionados
Firefox
http://www.mozilla.org/products/firefox/
http://www.mozilla-europe.org/es/products/firefox/
Mozilla
http://www.mozilla.org/products/mozilla1.x/
http://www.mozilla-europe.org/es/products/mozilla1x/

Créditos:
Paul [Greyhats Security]
Michael Krax
Publicado en: http://www.vsantivirus.com/vul-firefox-080505.htm

Desconectado destroyer

  • Administrator
  • ******
  • Mensajes: 14639
  • Si quieres cambiar al mundo, cámbiate a ti mismo
    • cajondesastres.com De todo un poco
Firefox Grave vulnerabilidad en extensiones
« Respuesta #1 en: 09 de Mayo de 2005, 06:50:52 pm »
Gracias Danae..


Un saludo

 

Aviso Legal | Política de Privacidad | Política de Cookies

el contenido de la web se rige bajo licencia
Creative Commons License