|
|
Modificación de configuración en Mozilla Firefox
|
| |
VSantivirus No. 1680 Año 9, viernes 11 de febrero de 2005
Modificación de configuración en Mozilla Firefox
http://www.vsantivirus.com/vul-mozilla-flashing-100205.htm
Por Angela Ruiz
angela@videosoft.net.uy
Utilizando plugins tales como el de Flash y un filtro como "-moz-opacity filter", es posible desplegar el contenido de "about:config" (la página de configuración), en un marco escondido o en una nueva ventana.
Engañando al usuario para que haga doble clic en una posición concreta de la pantalla (por ejemplo utilizando un juego basado en DHTML -HTML dinámico-), un atacante puede hacer que el usuario cambie el estado de las opciones de configuración (que solo aceptan "si" o no").
Esto puede dejar al navegador vulnerable para aprovecharse de otras debilidades.
Se pueden utilizar hojas de estilo para mover los parámetros a modificar a determinada posición de la pantalla.
Esto también puede ser explotado por otros plugins, como el de Real Player.
Existe una prueba de concepto en el siguiente enlace:
http://www.mikx.de/fireflashing/
Software afectado:
- Firefox 1.0 y anteriores
- Mozilla 1.7.5 y anteriores
Solución:
Instalar Firefox 1.0.1 o Mozilla 1.7.6
Firefox 1.0.1 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-250205.htm
Este fallo ha sido asignado como CAN-2005-0232 por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).
Créditos:
mikx.de
Referencias:
Fireflashing
http://www.mikx.de/index.php?p=10
Actualizaciones:
26/02/05 - 05:48 -0200 (Firefox 1.0.1)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
