Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Ejecución de código en Mozilla con etiqueta IFRAME
 
VSantivirus No. 1768 Año 9, martes 10 de mayo de 2005

 Ejecución de código en Mozilla con etiqueta IFRAME
http://www.vsantivirus.com/vul-mozilla-090505.htm

Por Angela Ruiz
angela@videosoft.net.uy

Una vulnerabilidad ha sido reportada en Mozilla Suite, la cuál puede ser explotada por usuarios maliciosos para ejecutar un ataque del tipo "Cross-Site-Scripting".

El fallo permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. Esto es válido para cualquier sitio web o para un archivo local.

El problema se produce por un error de validación cuando se procesa un código JavaScript en el contexto de direcciones ya visitadas y en una etiqueta "IFRAME" (etiqueta que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no).

Esto puede ser explotado para ejecutar un script dentro de código HTML, en la sesión del usuario actual.


Software vulnerable:

- Mozilla Suite 1.7.7 y anteriores


Soluciones

Actualizarse a la versión no vulnerable, desde el siguiente enlace:

Mozilla Browser Suite 1.7.8 o superior
http://www.mozilla-europe.org/es/products/mozilla1x/

- En Mozilla Suite, seleccionar el menú de Edición, Preferencias, expandir la lista de "Avanzado", seleccionar "Scripts y Plug-ins" y desmarcar la casilla "Navegador" bajo "Habilitar JavaScript para" (Enable JavaScript for).


Referencias:

- Referencia en Secunia: SA15296
Mozilla "IFRAME" JavaScript URL Cross-Site Scripting
http://secunia.com/advisories/15296/

- Mozilla Foundation Security Advisory 2005-42
Code execution via javascript: IconURL
http://www.mozilla.org/security/announce/mfsa2005-42.html

- Bugzilla Bug 293302
https://bugzilla.mozilla.org/show_bug.cgi?id=293302

- Referencia en FrSIRT: FrSIRT/ADV-2005-0493
http://www.frsirt.com/english/advisories/2005/0493
http://www.frsirt.com/exploits/20050507.firefox0day.php


Relacionados

Firefox 1.0.4 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-104.htm

Mozilla Suite 1.7.8 corrige graves vulnerabilidades
http://www.vsantivirus.com/mozilla-178.htm

Múltiples vulnerabilidades en Mozilla y Firefox (5/05)
http://www.vsantivirus.com/vul-mozilla-120505.htm

Ejecución remota de código en Firefox 1.0.3
http://www.vsantivirus.com/vul-firefox-070505.htm

Grave vulnerabilidad en extensiones de Mozilla Firefox
http://www.vsantivirus.com/vul-firefox-080505.htm

Firefox
http://www.mozilla.org/products/firefox/
http://www.mozilla-europe.org/es/products/firefox/

Mozilla
http://www.mozilla.org/products/mozilla1.x/
http://www.mozilla-europe.org/es/products/mozilla1x/


Créditos:

 john smith
Paul [Greyhats Security]
Michael Krax


 Actualizado: 12/05/05





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS