5 de juny de 2007

Zalewski troba dues noves vulnerabilitats al Firefox

Fa un any Zalewski va advertir sobre un problema relacionat amb els IFRAMES. Tot i que es considerava sol·lucionat ara s'ha descobert que es pot fer un altre atac a través d'IFRAMES.

Un IFRAME(+) és un element HTML la funció del qual és la d'inserir un document HTML dins d'un altre document HTML, s'utilitzen a moltes pàgines web per a presentar anuncis, posts, comentaris...

Seguint el mètode document.write() és possible que amb la càrrega de frames com about:blank es puguin mostrar continguts modificats del lloc atacat, interceptar pulsacions de teclat o estudiar moviments de l'usuari.

  • vegeu el comunicat oficial de Zalewski aquí
  • vegeu l'entrada a BugZilla aquí
Zalewski ha publicat una demo que demostra la segona vulnerabilitat: al descarregar-la i obrir-la (en un Windows) una pàgina .htm ens mostrarà els continguts de C: des del Firefox.
  • vegeu el comunicat oficial de Zalewski aquí
Font: Kriptópolis (1)

Cap comentari:

Publica un comentari a l'entrada