Problemas de seguridad en FireFox

Actualización: Los problemas de FireFox con los «javascript» se mantienen. Sin embargo, parece que ello no afecta a la «Cafetería» (Daniel el experto dixit), con lo cual se reabre el servicio.

Dado que más del 40% de los lectores de «Desde el exilio» utilizan FireFox como navegador, comunico que procedo a cerrar temporalmente la «Cafetería». Al parecer, desde esta mañana se han hecho públicos dos fallos severos de seguridad en FireFox. Es posible introducir scripts extraños a través de javascript.

La «Cafetería» reabrirá en cuanto se solucionen los problemas con FireFox.

La noticia:

Mozilla Firefox Two Vulnerabilities

Description:
Two vulnerabilities have been discovered in Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks and compromise a user’s system.

1) The problem is that «IFRAME» JavaScript URLs are not properly protected from being executed in context of another URL in the history list. This can be exploited to execute arbitrary HTML and script code in a user’s browser session in context of an arbitrary site.

2) Input passed to the «IconURL» parameter in «InstallTrigger.install()» is not properly verified before being used. This can be exploited to execute arbitrary JavaScript code with escalated privileges via a specially crafted JavaScript URL.

Successful exploitation requires that the site is allowed to install software (default sites are «update.mozilla.org» and «addons.mozilla.org»).

A combination of vulnerability 1 and 2 can be exploited to execute arbitrary code.

NOTE: Exploit code is publicly available.

The vulnerabilities have been confirmed in version 1.0.3. Other versions may also be affected.

Solution:
Disable JavaScript.

Provided and/or discovered by:
john smith

Please note: The information, which this Secunia Advisory is based upon, comes from third party unless stated otherwise.

Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.

Para más información: Secunia services
Gracias Daniel por la explicación técnica.
Yo es que soy muy burro para estas cosas… 😉

Luis I. Gómez
Luis I. Gómez

Si conseguimos actuar, pensar, sentir y querer ser quien soñamos ser habremos dado el primer paso de nuestra personal “guerra de autodeterminación”. Por esto es importante ser uno mismo quien cuide y atienda las propias necesidades. No limitarse a sentir los beneficios de la libertad, sino llenar los días de gestos que nos permitan experimentarla con otras personas.

Artículos: 3201

10 comentarios

  1. Creo, klaus meyer, que la maravilla reside en el código abierto. Para entendernos, eso significa que cualquiera tiene derecho a echar una ojeada al código fuente del programa en cuestión, analizarlo y ver sus virtudes y posibles vulnerabilidades.

    Cierto que un 90% de los internautas usan el MS Internet Explorer, frente al 5% que usan Firefox (fuente: PC World España, mayo de 2005). Y si aparece una vulnerabilidad en uno sólo de los navegadores, la proporción de internautas afectados será muy diferente. Y la experiencia demuestra que las personas no cuidan mucho su privacidad.

  2. Esto me recuerda un chiste de un comic: Alguien estaba instalando un anti-virus a su computadora (cubierta con una manta, a la manera como se fumigan casa en los EEUU), el instalador le dice al cliente: «Al finalizar su computadora PC será prácticamente inmune a los virus». Terminada la «fumigación, retira la manta o lona y ¡aparece una Mac!

    ¿Estos navegadores «alternativos», Mozilla, FireFox, que son puestos por los cuernos de la luna por sus acólitos, no serán tan maravillosos en tanto minoritarios, es decir, mientras no sean apetecibles como víctimas del crackers?

  3. Bueno, como ya te han contado más arriba se necesita una combinación de varios parámetros para poder llegar a hacer algo nocivo. De hecho, es casi imposible, ya que tienen que se necesita:

    – Un sitio web con código malicioso

    – Que tengas autorizado a tu Firefox para que pueda instalar software desde ese sitio.

    Aunque claro, nunca hay que menospreciar la torpeza humana, sabiendo lo que somos capaces de hacer por una taza de café

  4. Pues nada, gracias Daniel. Abriremos el «bar» de nuevo, no sea que a alguno le de el mono y decida beberse el «Varón Dandy».

  5. No sé si la cafetería puede dar problemas de seguridad, pero vamos, no veo razones a partir de la info que das. Además, esos problemas que describe se dan si ejecutan código malicioso aprovechándose del agujero en cuestión; imagino que la cafetería no tendrá código malicioso y mala persona.

  6. No sabía que éramos tantos usando Mozilla… lo mío es por necesidad, en el curro nos tienen bloqueado el Explorer.

Los comentarios están cerrados.