Tanto la empresa de seguridad 'on line' Secunia como la propia Fundación Mozilla han informado de dos vulnerabilidades consideradas 'críticas' que afectan al navegador gratuito Firefox en su versión 1.0.3, la última, y que pueden afectar también a versiones anteriores. Estas vulnerabilidades podrían, según Hispasec, "ser explotadas por atacantes remotos incluso para comprometer la maquina de la víctima".
(mas información y solución mas abajo)
Según informa Secunia en su aviso, el primer problema tiene que ver con "los marcos ('frames') en las URL JavaScript, que no están protegidos convenientemente" en cuantro al acceso de elementos restringidos, como el historial, "lo que puede ser aprovechado para ejecutar HTML y 'scripts arbitrarios en la sesión del navegador del usuario" de forma remota.
La segunda vulnerabilidad, informa Hispasec, se debe a una "incorrecta verificación del parámetro 'IconURL' en la función 'InstallTrigger.install()', lo que puede ser utilizado para ejecutar código JavaScript arbitrario y llevar a cabo una escalada de privilegios en el sistema afectado".
Secunia agrega que "una combinación entre ambas vulnerabilidades puede ser usada para ejecutar código arbitrario". Además, ya existe un código ('exploit') en la Red para aprovecharse de estas vulnerabilidades.
De momento no existe ninguina solución específica para ambos 'agujeros', por lo que se recomienda deshabilitar la función javaScript del navegador, desactivar la instalación de software (Options, Web Features, "Allow web sites to install software") o utilizar otro navegador.
http://www.elmundo.es/navegante
Hallan dos vulnerabilidades de alto riesgo en Firefox
11 de mayo de 2005, 0:27