10 de febrer de 2008

Ja s'ha trobat una nova vulnerabilitat al Firefox 2.0.0.12

Des de 0x000000, Ronald van den Heetkamp ens informa d'una vulnerabilitat que afecta, entre altres versions, al Firefox 2.0.0.12.

Utilitzant el protocol view-source: es pot accedir a tots als arxius situats al directori resource:///, per tant als de C:/Program Files/Mozilla Firefox/ (en un Windows). Amb això poden accedir a totes les preferències i galetes (cookies) que tenim emmagatzemades al Firefox i a qualsevol fitxer que tinguem a la carpeta del programa. A mozilla.org n'han publicat un exemple, al entrar-hi ens mostra les nostres preferències del Firefox.

A 0x000000 ens proposen canviar de navegador (no cal ser tan radical) o instal·lar l'extensió NoScript.

Mike Shaver (desenvolupador informàtic de Mozilla) ha comentat al seu bloc que en realitat aquesta vulnerabilitat va ser trobada el 16 maig del 2007 per ha.ckers.org i que té molt poca importància, ja que, de fet, no es pot accedir a informació personal de l'usuari. A Mozilla Links es pregunten si realment pot ser anomenada vulnerabilitat: des d'una correcció al Firefox 2.0.0.4 no es pot accedir a arxius del sistema a través d'aquest sistema.

"Firefox Vulnerable By Default." - 0x000000
"Firefox URI Spoofing Revisited." - 0x000000
"Browsing The Browser." - 0x000000
"view-source/resource “vulnerability” does not expose personal information" - shaver
"(Sort of) Firefox resource: vulnerability" - Mozilla Links
"Read Firefox Settings (PoC)"- ha.ckers.org (maig del 2007)
Actualitzat (11/02/08 - 15:40): inclosa nova informació, tercera nova de 0x000000x l'escrit de Shaver i l'enllaç a la mostra de la vulnerabilitat.

Cap comentari:

Publica un comentari a l'entrada