|
|
Vulnerabilidad en pestañas de Mozilla Firefox
|
| |
VSantivirus No. 1680 Año 9, viernes 11 de febrero de 2005
Vulnerabilidad en pestañas de Mozilla Firefox
http://www.vsantivirus.com/vul-mozilla-tabbing-100205.htm
Por Angela Ruiz
angela@videosoft.net.uy
El administrador de seguridad de Javascript de Mozilla Firefox, previene que un URL como "javascript:" de un determinado sitio, sea abierto en una ventana desplegando contenido de otro sitio. Pero cuando un enlace es liberado en una pestaña o etiqueta de navegación, el administrador de seguridad parece no enterarse.
Esto puede considerarse un grave problema de seguridad, ya que permite desde robar las cookies de una sesión, hasta la habilidad de ejecutar código HTML o scripts de forma arbitraria en el sistema del cliente, dependiendo del sitio desplegado o la configuración de seguridad.
Las pestañas de navegación permiten navegar cómodamente por varios sitios de Internet. Pero si son muchas las etiquetas creadas, usted tiene dos opciones: cerrar las pestañas actuales y abrir nuevas (CTRL+W para cerrar las lengüetas, seguido de un CTRL+clic en un enlace para abrir una nueva), o simplemente reciclar las ya creadas, arrastrando los nuevos enlaces a ellas.
Existe una prueba de concepto en el siguiente enlace:
http://www.mikx.de/firetabbing/
Software afectado:
- Firefox 1.0 y anteriores
- Mozilla 1.7.5 y anteriores
Solución:
Instalar Firefox 1.0.1 o Mozilla 1.7.6
Firefox 1.0.1 corrige importantes vulnerabilidades
http://www.vsantivirus.com/firefox-250205.htm
Este fallo ha sido asignado como CAN-2005-0231 por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).
Créditos:
mikx.de
Referencias:
Firetabbing
http://www.mikx.de/index.php?p=9
Actualizaciones:
26/02/05 - 05:48 -0200 (Firefox 1.0.1)
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
