Dos (seg�n lo clasificado por Secunia) vulnerabilidades extremadamente cr�ticas se han descubierto en Firefox, que se puede explotar por la gente mal�vola (galletas le�das) para conducir ataques scripting del cruz-sitio y para comprometer el sistema de un usuario.

Desafortunadamente el c�digo de la haza�a del prueba-de-concepto se ha hecho p�blico - disponible, sin el abastecimiento de Firefox una ocasi�n de fijarlas primero. Esto es qu� lo hace tan peligroso.

Los problemas se relacionan con:

  • Protecci�n incorrecta de la ejecuci�n del URL del Javascript del IFRAME en contexto de otro URL en la lista de la historia.
  • Verificaci�n incorrecta de la entrada pasajera al par�metro de IconURL en InstallTrigger.install ().

Una combinaci�n de la vulnerabilidad 1 y 2 se puede explotar para ejecutar c�digo arbitrario en un hojeador de los usuarios.

La explotaci�n acertada requiere que el sitio est� permitido instalar software (los sitios del defecto son update.mozilla.org y addons.mozilla.org).

Los cambios al servicio de tela de la actualizaci�n de Mozilla se han realizado para atenuar el riesgo de una haza�a, la fundaci�n de Mozilla anunciada en su sitio domingo de la seguridad. Mozilla re-pointed los dos sitios de la actualizaci�n a un nuevo URL - do-not-add.mozilla.org, y a los usuarios instruidos para no agregar ese nuevo sitio a su lista de sitios permitidos. El cambio, sin embargo, defiende solamente contra el prueba-de-concepto actual que est� circulando, no las vulnerabilidades ellos mismos.

P�ginas: 1 2