Ja s’ha trobat una nova vulnerabilitat al Firefox 2.0.0.12

Des de 0×000000, Ronald van den Heetkamp ens informa d’una vulnerabilitat que afecta, entre altres versions, al Firefox 2.0.0.12.

Utilitzant el protocol view-source: es pot accedir a tots als arxius situats al directori resource:///, per tant als de C:/Program Files/Mozilla Firefox/ (en un Windows). Amb això poden accedir a totes les preferències i galetes (cookies) que tenim emmagatzemades al Firefox i a qualsevol fitxer que tinguem a la carpeta del programa. A mozilla.org n’han publicat un exemple, al entrar-hi ens mostra les nostres preferències del Firefox.

A 0×000000 ens proposen canviar de navegador (no cal ser tan radical) o instal·lar l’extensió NoScript.

Mike Shaver (desenvolupador informàtic de Mozilla) ha comentat al seu bloc que en realitat aquesta vulnerabilitat va ser trobada el 16 maig del 2007 per ha.ckers.org i que té molt poca importància, ja que, de fet, no es pot accedir a informació personal de l’usuari. A Mozilla Links es pregunten si realment pot ser anomenada vulnerabilitat: des d’una correcció al Firefox 2.0.0.4 no es pot accedir a arxius del sistema a través d’aquest sistema.

Firefox Vulnerable By Default.” – 0×000000
Firefox URI Spoofing Revisited.” – 0×000000
Browsing The Browser.” – 0×000000
view-source/resource “vulnerability” does not expose personal information” – shaver
(Sort of) Firefox resource: vulnerability” – Mozilla Links
Read Firefox Settings (PoC)“- ha.ckers.org (maig del 2007)

Actualitzat (11/02/08 – 15:40): inclosa nova informació, tercera nova de 0x000000x l’escrit de Shaver i l’enllaç a la mostra de la vulnerabilitat.

Share Button