Duas (como classific por Secunia) vulnerabilidades extremamente cr�ticas foram descobertas em Firefox, que pode ser explorado por povos maliciosos (biscoitos lidos) para conduzir ataques scripting do cruz-local e para comprometer o sistema de um usu�rio.

O c�digo da fa�anha do prova--conceito foi feito infelizmente publicamente - dispon�vel, sem fornecer Firefox uma possibilidade repar�-los primeiramente. Este � o que o faz t�o perigoso.

Os problemas s�o relacionados a:

  • Prote��o incorreta da execu��o do URL do Javascript do IFRAME no contexto de um outro URL na lista da hist�ria.
  • Verifica��o impr�pria da entrada passada ao par�metro de IconURL em InstallTrigger.install ().

Uma combina��o da vulnerabilidade 1 e 2 pode ser explorada para executar o c�digo arbitr�rio em um navegador dos usu�rios.

A explora��o bem sucedida exige que o local est� permitido instalar o software (os locais do defeito s�o update.mozilla.org e addons.mozilla.org).

As mudan�as ao servi�o de correia fotorreceptora da actualiza��o de Mozilla foram feitas para abrandar o risco de uma fa�anha, a funda��o de Mozilla anunciada em seu local domingo da seguran�a. Mozilla re-pointed os dois locais da actualiza��o a um URL novo - do-not-add.mozilla.org, e usu�rios instru�dos para n�o adicionar esse local novo a sua lista de locais permitidos. A mudan�a, entretanto, defende somente de encontro ao prova--conceito atual que est� circulando, n�o as vulnerabilidades elas mesmas.

P�ginas: 1 2