julio 12, 2007

Problemas de seguridad de Mozilla

Según un artículo publicado esta semana en Internetnews.com, investigadores en seguridad sostienen que la última versión de Mozilla Firefox 2.0.0.4 presenta un fallo de seguridad que podría permitir a un hacker ejecutar unas instrucciones arbitrarias y hacerse con el control del ordenador de un usuario.

Al menos uno de los investigadores afirma que el fallo se produce cuando el usuario también tiene instalado el Internet Explorer de Microsoft en el mismo ordenador.
Independientemente, Mozilla ya está trabajando en su reparación.

"Estamos al tanto del problema y ya estamos desarrollando un parche", señala Window Snyder, jefe de seguridad de Mozilla. "Mozilla tiene el compromiso de ofrecer la experiencia más segura para sus usuarios". Snyder no ha dicho cuando saldrá el parche para el fallo, que la empresa de seguridad Secunia ha descrito como "muy crítico".

El fallo está relacionado con el gestor del identificador uniforme de recursos (URI) "firefoxurl://", que permite a Firefox llamar a otros recursos Web. Investigadores de seguridad independientes sostienen que el URI está abierto a la introducción de código malicioso que podría poner en riesgo a los usuarios.
Billy (BK) Rios, Nate Mcfeters y Raghav "the Pope" Dube explicaron en su aviso que en la instalación de Firefox2 se registra el URI "firefoxurl" en el registro de Windows. "El peligro surge cuando parámetros que forman parte de firefoxurl: se pasan directamente a Firefox.exe como opciones sin validación. Utilizando el URI firefoxurl, es posible utilizar Internet Explorer (u otro navegador basado en Web) para lanzar FireFox e inmediatamente lanzar código JavaScript".

El investigador independiente Thor Larholm afirma que el fallo es un problema de Internet Explorer. "Firefox es el vector de ataque, pero Internet Explorer es culpable por no evitar los caracteres al pasar la entrada a la línea de comandos", señala. "Estoy de acuerdo en que Firefox podría haber registrado su gestor de URL con DDE puro, evitando así la posibilidad de inyección de argumentos en la línea de comandos, pero el IE debería ser capaz de lanzar aplicaciones externas con seguridad".

Fuente: Internet News

Etiquetas:

posted by Euroresidentes at 10:03 AM