Gracias Gracias:  0
Me Gusta Me Gusta:  0
No me Gusta No me Gusta:  0
Mostrando resultados del 1 al 3 de 3

Tema: Grave vulnerabilidad en extensiones de Mozilla Firefox

  1. #1
    Fecha de Ingreso
    27-julio-2004
    Ubicación
    En un lugar de la mancha ...
    Mensajes
    2.348
    Post Thanks / Like
    Poder de Credibilidad
    19

    Exclamation Grave vulnerabilidad en extensiones de Mozilla Firefox

    Una nueva vulnerabilidad considerada muy crítica ha sido identificada en Mozilla Firefox, la cuál puede ser explotada por atacantes remotos para ejecutar comandos en forma arbitraria.

    El problema se produce por un error de validación cuando se procesa un código JavaScript modificado maliciosamente con un parámetro "src" en una etiqueta "IFRAME" o en el parámetro "iconURL" en la función "InstallTrigger.install()", la cuál es llamada cuando se instalan extensiones (extension/theme add-ons).

    Esto puede ser explotado por una página web o un correo electrónico malicioso, para eludir las restricciones de seguridad e inyectar código JavaScript en el contexto de un archivo "chrome" (este tipo de archivo contiene todas las partes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

    Se han publicado varias pruebas de concepto y exploits que abren una ventana de comandos, o descargan y ejecutan un archivo desde una página web, por lo que el riesgo para quienes utilizan Firefox es muy grande.

    Soluciones: No existen soluciones al momento de la primera publicación de este aviso.

    Se recomienda deshabilitar JavaScript:

    Referencias:

    - Referencia en FrSIRT: FrSIRT/ADV-2005-0493
    http://www.frsirt.com/english/advisories/2005/0493
    http://www.frsirt.com/exploits/20050507.firefox0day.php

    Fuente: VSAntivirus
    La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
    "No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"

  2. #2
    Fecha de Ingreso
    16-julio-2004
    Ubicación
    /home/riven
    Mensajes
    931
    Post Thanks / Like
    Poder de Credibilidad
    10
    ¿En cuanto tiempo tendremos disponible la nueva version?
    Nunca olvido una cara pero con la suya voy a hacer una excepción.
    Estos son mis principios. Si no le gustan tengo otros.


  3. #3
    Fecha de Ingreso
    27-julio-2004
    Ubicación
    En un lugar de la mancha ...
    Mensajes
    2.348
    Post Thanks / Like
    Poder de Credibilidad
    19
    De hecho en la versión candidata de la 1.0.4 ya están corregidos estos fallos

    Fixed in Firefox 1.0.4 RC
    MFSA 2005-42 Code execution via javascript: IconURL
    Fixed in Firefox 1.0.3
    MFSA 2005-33 Javascript "lambda" replace exposes memory contents
    MFSA 2005-34 javascript: PLUGINSPAGE code execution
    MFSA 2005-35 Showing blocked javascript: popup uses wrong privilege context
    MFSA 2005-36 Cross-site scripting through global scope pollution
    MFSA 2005-37 Code execution through javascript: favicons
    MFSA 2005-38 Search plugin cross-site scripting
    MFSA 2005-39 Arbitrary code execution from Firefox sidebar panel II
    MFSA 2005-40 Missing Install object instance checks
    MFSA 2005-41 Privilege escalation via DOM property overrides
    La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
    "No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"

Thread Information

Users Browsing this Thread

There are currently 1 users browsing this thread. (0 members and 1 guests)

Temas Similares

  1. Respuestas: 1
    Último mensaje: 20-abr-2005, 15:22
  2. Encubrimiento de dirección real en Mozilla y Firefox
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 05-ene-2005, 11:25
  3. Operación "array sort" infinita causa DoS en Firefox
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 0
    Último mensaje: 29-nov-2004, 11:26
  4. Grave vulnerabilidad en Java, afecta al IE, Firefox y Opera
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 2
    Último mensaje: 27-nov-2004, 20:19
  5. Vulnerabilidad en Mozilla y Firefox favorece el phishing
    By chuzo in forum Internet, Redes y Wireless
    Respuestas: 5
    Último mensaje: 04-ago-2004, 01:02

Marcadores

Normas de Publicación

  • No puedes crear nuevos temas
  • No puedes responder mensajes
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •