Vulnerabilidades críticas en el navegador Firefox
Vía El Navegante:
Según informa Secunia en su aviso, el primer problema tiene que ver con "los marcos ('frames') en las URL JavaScript, que no están protegidos convenientemente" en cuantro al acceso de elementos restringidos, como el historial, "lo que puede ser aprovechado para ejecutar HTML y 'scripts arbitrarios en la sesión del navegador del usuario" de forma remota.
La segunda vulnerabilidad, se debe a una "incorrecta verificación del parámetro 'IconURL' en la función 'InstallTrigger.install()', lo que puede ser utilizado para ejecutar código JavaScript arbitrario y llevar a cabo una escalada de privilegios en el sistema afectado".
Secunia agrega que "una combinación entre ambas vulnerabilidades puede ser usada para ejecutar código arbitrario". Además, ya existe un código ('exploit') en la Red para aprovecharse de estas vulnerabilidades.
De momento no existe ninguina solución específica para ambos 'agujeros', por lo que se recomienda deshabilitar la función javaScript del navegador, desactivar la instalación de software (Options, Web Features, "Allow web sites to install software") o utilizar otro navegador.
Escrito por Alicia at
martes, mayo 10, 2005
<< Home