NUEVO FALLO EN MOZILLA Y NETSCAPE


Mozilla y Netscape 6.1 tienen una vulnerabilidad que permite a un atacante remoto acceder, en modalidad de lectura, a los archivos presentes en el disco duro del usuario. Se trata de un problema que recuerda, en gran medida, a uno descubierto meses atrás en Internet Explorer 6.0 relacionado con problemas en los servicios XML utilizados por Internet Explorer 6.0, Windows XP y Microsoft SQL Server 2000.





En esta ocasión, la vulnerabilidad descubierta está asociada al objeto XMLHttpRequest de Mozilla y es muy semejante al problema de Internet Explorer antes referido. El problema es el siguiente: cuando se envía un método "open" a una página web que redirecciona a un archivo local/remoto, Mozilla considera que todavía se encuentra en la zona permitida, por lo que es posible al atacante remoto leer el contenido del sistema de archivos.

Una demostración de esta vulnerabilidad está disponible en http://sec.greymagic.com/adv/gm001-ns/mozexplorer.html. Accediendo a esta dirección con Mozilla (versiones 0.9.6 y posteriores) o Netscape 6.1, podemos ver el contenido de nuestro disco duro y ver el contenido de cualquier archivo. Las versiones donde se ha comprobado la existencia de este problema son:

o Mozilla 0.9.6 (Unix)
o Mozilla 0.9.7 (Windows)
o Mozilla 0.9.8 (Unix)
o Mozilla 0.9.9 (Windows y Unix)
o Mozilla RC1 (FreeBSD)
o Netscape 6.1 (Windows)
o Netscape 6.2.1 (Windows)
o Netscape 6.2.2 (Windows y Unix)

Otras versiones pueden ser igualmente vulnerables, aunque no existe constancia formal. La versión 1.0 (Release Candidate 1) de Mozilla en las plataformas Linux y Windows no se ve afectada por el problema, aunque esto es debido a que el objeto XMLHttpRequest no funciona correctamente en esas versiones. Este problema ha sido ya solucionado, de forma que las versiones de Mozilla posteriores al 2 de mayo no son vulnerables a este problema.


Otras noticias de interés:

Códigos QR y el malware
Los Quick Response (QR) son códigos de barra de dos dimensiones diseñados para ser leídos e interpretados rápidamente. Actualmente, y sumado a la gran proliferación de smartphones en el mercado, son muy utilizados para publicidades y campañas d...
Microsoft publica el esperado parche para la vulnerabilidad de Internet Explore
Tal y como adelantamos ayer, Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por...
Nueva versión de Tuquito 2.0 Beta
Nuestros amigos tucumanos de Tuquito anunciaron la versión 2 (Beta) de su cada vez más reconocida distribución LiveCD. ...
Agujero en antivirus puede hacer caer el sistema
Una vulnerabilidad en el software antivirus, para la cuál existe un exploit, puede hacer que el sistema operativo deje de responder, al consumirse rápidamente toda la memoria disponible, y el espacio en disco asignado. Se ha comprobado que los prod...
Google aumenta las recompensas para los cazadores de bugs
Hace ahora tres años, Google ponía en marcha su programa de recompensas por encontrar vulnerabilidades en sus productos. Y ahora ha llegado el momento de hacer balance....
Opera Unite podría poner en riesgo la seguridad
Los usuarios que se instalen Opera Unite, la nueva plataforma de desarrollo de Opera, podrían ponerse en riesgo de ser atacados por ciber criminales, según denuncian algunos investigadores de seguridad....
El uso de Malware para robar datos
Inteco ha publicado un artículo para su descarga donde exponen que el uso de malware (El término malware incluye virus, gusanos, troyanos, la mayoría de los rootkits, spyware, adware intrusivo, crimeware y otros software maliciosos e indeseables) ...
Espías en el aire
No hace mucho leía en un artículo que la U.E. iba a destinar un porcentaje de sus fondos para el desarrollo de un sistema de comunicaciones seguro, cuyos aspectos básicos son la generación de claves de encriptación y el intercambio de las mismas...
Explotando la vulnerabilidad en Firefox 3.5
Desde el sitio rinconinformatico.net, Epsilon (el cual aclara al principio del texto:quiero dejar muy en claro que este es un laboratorio informativo, es decir, un laboratorio de prueba de concepto) explica de una forma bastante sencilla como se pued...
Goobuntu se integrará con Ubuntu
El equipo de desarrollo de Goobuntu anunció que después del lanzamiento de su versión 8.04 el proyecto apuntará a integrar muchos de sus cambios dentro de la versión principal de Ubuntu. Así, próximamente Ubuntu incluirá la opción de Sólo ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallo
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • netscape
  • noticia
  • nuevo
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra