Varios navegadores son vulnerables en sus sesiones FTP


Una conexión desde el navegador a un FTP podría permitir el redireccionamiento a otro ftp, además de un escaneo de puertos.






Una falla común a varios clientes FTP permite que los servidores FTP redireccionen a otro host.

Esta pequeña vulnerabilidad tiene interesantes consecuencias para la seguridad de los navegadores.

Firefox es vulnerable a un escaneo de puertos TCP usando técnicas en javascript, incluso si se está usando la restricción de puertos existente.

La máquina de javascript en Konqueror (KJS) sufre una denegación de servicio cuando intenta leer el contenido de un iframe con un enlace FTP. Sitios maliciosos pueden aprovechar esta vulnerabilidad para provocar un cierre abrupto. Otras aplicaciones relacionadas al KJS pueden verse afectadas.

Estos fallos permiten el conseguir información para un ataque más preciso, posiblemente utilizando otras vulnerabilidades existentes.

Existe una prueba de concepto disponible.

Software afectado:

Gentoo y Debian con KDE 3.5.5.
Firefox 2.0
Firefox 1.5
Opera 9.10

KDE ha publicado un parche para la solución del problema.

Temas relacionados

Prueba de concepto
http://bindshell.net/advisories/konq355

Parche para KDE
http://bindshell.net/advisories/konq355/konq355-patch.diff

Fuente:
Por Gonzalo Alvarez
enciclopediavirus.com



Otras noticias de interés:

Fallo en Skype permite seguimiento de uso de BitTorrent
Varios investigadores han sacado a la luz un importante fallo de seguridad en Skype que se lleva produciendo desde al menos un año, momento en el que dieron cuenta a la compañía del hallazgo sin hacerlo público. La vulnerabilidad encontrada permi...
Nueva actualización de seguridad de Java de Noviembre de 2009
Se ha publicado una actualización de Java -versión 6 actualización 17, conocida como 6u17-....
Contraseña: "ManchesterUnited"
El banco británico Egg ha descubierto que una tercera parte de los usuarios del sistema en línea del banco usa los nombres de sus hijos como contraseñas. Otros usan el nombre de su equipo de fútbol favorito y Manchester United es la contraseña m...
Napster renace este jueves
Napster regresó a Internet el jueves 9 de octubre, día en que se publicará por primera vez la aplicación Napster 2.0. La versión 2.0 de Napster es del tipo beta público, por lo que hay que contar con algunos errores y carencias en el so...
Ataque DoS sobre el sistema operativo Linux
Las instalaciones LINUX con kernel de la serie 2.4.* (la actual) son susceptibles a un ataque DoS remoto que permite consumos de CPU arbitrariamente elevados y, eventualmente, la caída de la máquina. ...
Primeras actualizaciones de 2007 para MS-Windows publicadas por Microsoft 10-01-2007
La compañía de software finalmente publicó en enero, cuatro boletines de actualizaciones, de los ocho anunciados hace unos días. Concretamente tres de ellos son de caracter crítico y uno importante....
Bases de datos objetivo prioritario para los piratas informáticos
Imperva acaba de dar a conocer los resultados de su estudio las 10 principales amenazas contra las bases de datos, del que se desprende que son precisamente las bases de datos uno de los objetivos prioritarios para los piratas informáticos. ...
Imagemagick - Ejecución de código arbitrario
Múltiples vulnerabilidades han sido descubiertas en los programas de manipulación de imagen de imagemagick que pueden conducir a la ejecución de código arbitrario, exposición de información sensible o causar DoS. El proyecto Common Vulnerabilit...
Spoofing de ventanas en Mozilla, Netscape y Firefox
Los navegadores Mozilla, Firefox y Netscape, poseen una vulnerabilidad que permite ocultar los cuadros de diálogo con ventanas emergentes (pop-ups), facilitando las técnicas de spoofing (engaño)....
Implementación nativa de Ogg Vorbis y Theora en Firefox 3.1
El último binario de Shiretoko (nombre en clave de desarrollo de Firefox 3.1) ya tiene disponible una funcionalidad esperada y muy bienvenida: la implementación de las etiquetas y de la especificación de HTML5 que permitirán a los...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • ftp
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • navegadores
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • sesiones
  • son
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • varios
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • vulnerables
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra