Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Ejecución de código entre zonas en Mozilla y Netscape
 
VSantivirus No. 1016, Año 7, Sábado 19 de abril de 2003

Ejecución de código entre zonas en Mozilla y Netscape
http://www.vsantivirus.com/vul-mozilla-zonas.htm

Aviso: Ejecución de código entre zonas en Mozilla y Netscape
Fecha original: 16/abr/03
Aplicación: Mozilla 1.0, 1.1, 1.3, 1.4 y Netscape 7.x
Plataformas: Windows y Linux
Severidad: Media
Impacto: Exposición remota de datos del usuario y su máquina
Solución: No disponible
Vendedor: www.mozilla.org, www.netscape.com

Mozilla, Netscape y posiblemente otros navegadores derivados del código del primero, son vulnerables a la ejecución de comandos fuera del contexto de seguridad predefinido. Un atacante remoto puede crear un HTML con el que podrá obtener información sensible del sistema desde una zona de seguridad diferente a la que se encuentra dicha página (por ejemplo, como si fuera un usuario local).

El problema ocurre porque Mozilla no elimina ningún script activo en el momento que un usuario pincha en el enlace a una nueva página y ésta es cargada. Dicho de otra manera, existe un período de tiempo en que el contexto de seguridad ya ha sido cambiado al de un nuevo documento, pero el documento anterior sigue activo (clickeable).

Esto permite que un sitio malicioso ejecute un código en JavaScript en el nuevo contexto, como si fuera el anterior, pudiendo por ejemplo, robar la información de los cookies del nuevo sitio, y retornar los datos al primer sitio.

Existe un exploit en Internet que demuestra esta acción, pero aún no hay solución de parte de los fabricantes del software afectado.

Se recomienda no pinchar en enlaces a otros sitios u otras páginas, mientras se está procesando algún tipo de intercambio de información en el primer sitio. Utilice una nueva ventana o directamente otro navegador en forma simultánea (dependiendo de los recursos de su sistema, puede tener instalados más de un browser).

La falla fue reportada bajo Windows Server 2003, pero funciona en otras versiones de Windows. También ha sido confirmada en las versiones de Mozilla y Netscape para Linux.




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2003 Video Soft BBS