Google Toolbar puede permitir la ejecución de scriptsLa barra de herramientas de Google, posee un agujero en la validación del ingreso de datos en la página del "About" (Acerca de), que puede permitir a usuarios locales la ejecución de código en la zona de seguridad de "Mi PC".
La sección "About" (acerca de) de dicha barra, no filtra adecuadamente el código HTML. Un usuario malicioso puede crear un HTML que cuando sea cargado por la víctima, invoque la página About y ejecute un script en forma arbitraria, en el contexto de seguridad local.
Existe un exploit que sirve de demostración de este fallo. El exploit utiliza el protocolo "res:". Cómo este protocolo no puede ser ejecutado en la zona de seguridad de Internet (ver "Sobre las zonas de seguridad en Windows",
http://www.vsantivirus.com/zonas-ie.htm), el exploit no puede ser usado por un usuario remoto.
No existe solución al momento de este reporte.
Créditos: Gregory R. Panakkal (Viper) <
[email protected]>
Referencias:
Google Toolbar Input Validation Hole in 'About' Page Lets Local Users Execute Scripting Code
http://securitytracker.com/id?1011351Google Toolbar
http://toolbar.google.comPublicado en:
http://www.vsantivirus.com/vul-google-toolbar-190904.htm
