Seguridad Derecho informático Derecho nuevas tecnologías


Derecho informático Derecho nuevas tecnologías
Seguridad Derecho informático Derecho nuevas tecnologías
 Noticias
  • Grave vulnerabilidad en el navegador Firefox, que permite ejecución de código [10-05-05]  

    Se han detectado dos vulnerabilidades en el navegador Firefox (versiones hasta la 1.0.3), calificadas como críticas, que pueden ser explotadas por atacantes remotos para realizar ataques de tipo cross site scripting o incluso para comprometer la maquina de la víctima.

    Según ha informado Hispasec, el primer problema detectado se debe a que las URLs "IFRAME" de JavaScript no son tratadas adecuadamente a la hora de ser ejecutadas con el contexto de otra URL en la lista histórica. Esta circunstancia puede ser aprovechada para ejecutar código HTML y script arbitrario en el navegador de la víctima con el contexto de un sitio arbitrario.

    La segunda vulnerabilidad se debe a que las entradas recibidas en el parámetro 'IconURL' de 'InstallTrigger.install()' no son verificadas antes de ser utilizadas, por lo que esta circunstancia puede aprovecharse para ejecutar código JavaScript con privilegios escalados al usar una URL JavaScript especialmente formada a tal efecto una incorrecta verificación del parámetro "IconURL" en la función "InstallTrigger.install()". Puede ser utilizado para ejecutar código JavaScript arbitrario y llevar a cabo una escalada de privilegios en el sistema afectado.

    Un atacante puede combinar ambas vulnerabilidades para provocar la ejecución remota de código arbitrario en la máquina de la víctima. El problema es especialmente alarmante si se tiene en cuenta de que hay constancia de la existencia de código de dominio publico para explotar esta vulnerabilidad.

    Si bien estas vulnerabilidades han sido confirmadas en la versión 1.0.3 del navegador, no se descarta que pueda afectar a otras también.

    A la espera de un parche definitivo que corrija esta situación, se recomiendan dos pasos:
    1) Desactivar el soporte de JavaScript
    2) Desactivar la instalación de software (Options --> Web Features --> "Allow web sites to install software")


    Más información:

    http://www.hispasec.com/unaaldia/2389/

    http://secunia.com/advisories/15292/


  • Noticias actuales...
    Archivo de noticias...
  •  
    Gratis Servicio de noticias
    Suscribir Borrado
    Tus Sugerencias son bienvenidas
    Pincha Aquí
    ¡¡Lista de correo!!
    Introduzca su correo: