Búsqueda de Temas

lunes, 11 de febrero de 2008

Hackean Firefox 2.0.0.12 recientemente actualizado

Si bien la recientemente liberada actualización 2.0.0.12 de Mozilla Firefox solucionó una gran cantidad de fallas de seguridad que la hacían vulnerable a ataques que ocasionarían fuga de datos y posesión de equipos usando técnicas de hacking vía Wifi, se les escapó otras cosas. A sólo horas de ser liberada esta actualización se encontró otro bug de seguridad.


La nueva vulnerabilidad recientemente descubierta en la actualizada versión 2.0.0.12 de Mozilla Firefox da acceso para que un usuario externo (conectado vía internet) pueda acceder a información de todas las preferencias seteadas en el navegador, asimismo le da acceso también a todos los ficheros que se encuentren en la ruta resource:/// que se actualiza de regreso en file:///C:/Program Files/Mozilla Firefox/, luego lo único que se hace es leer esta información y copiarla en alguna nueva web de destino DOM y estamos listos para poder leer todos los datos de las preferencias seteadas en el navegador de Firefox de ese usuario.

El código de inyección no resulta siendo tan complejo (a nivel de implementación):


<script>

/*

 @name: Firefox <= 2.0.0.12 information leak pOc
 @date: Feb. 07 2008
 @author: Ronald van den Heetkamp
 @url: http://www.0x000000.com

*/

pref = function(a,b) {

   document.write( a + ' -> ' + b + '<br />');

};

</script>

<script src="view-source:resource:///greprefs/all.js"></script>

Por el momento la vulnerabilidad crítica no ha sido parchada por lo que se espera una pronta actualización a la versión 2.0.0.13 del poderoso navegador, que al parecer se encuentra atravesando una serie de trance negativo dada su gran cantidad de fallas. Sólo esperamos que ésto no suceda cuando se lance la versión Firefox 3. Mientras tanto para evitar ser atacados con éste método te recomiendo evites visitar páginas webs desconocidas, usar otro navegador o instalar la extensión No-Script de Firefox.

Enlace: Extensión No-Script | Vía: 0x000000

1 comentario:

Adrian dijo...

Casualmente, despues de leer la nota, quize ver que version tengo del FireFox, y sorpresa!!!, estaba descargandose la version esta con falla.....sin que yo me diera cuenta...jajaja...ni modo...

saludos.

Contáctame