Nuevas NORMAS para el foro

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Julio 26, 2008, 07:05:36
Boton Buscar
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Foros De Consulta General  |  Off-Topic (Moderadores: JorgeArt ™, ek_col)  |  Tema: Vulnerabilidad en JAR: en navegadores de Mozilla 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: Vulnerabilidad en JAR: en navegadores de Mozilla  (Leído 27 veces)
Aleks
Moderación
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 2627


Mehr licht


Ver Perfil Email
« en: Noviembre 16, 2007, 07:16:53 »
Los navegadores basados en Mozilla, incluyendo Firefox, contienen una vulnerabilidad que puede permitir a un atacante la ejecución de código llevando a cabo ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Una prueba de concepto demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

El problema está ocasionado por una no adecuada separación de los datos obtenidos utilizando el protocolo JAR, y los datos ofrecidos por el propio sitio Web.

El protocolo JAR está diseñado para extraer contenido de archivos comprimidos .ZIP. Mozilla incluye soporte para JAR en sus productos (se manejan como URIs en el formato jar:<url>!</camino/archivo.ext>). El archivo comprimido no necesita tener una extensión .ZIP.

Según el blog de GNUCITIZEN, “el contenido de JAR: se ejecuta dentro del ámbito / origen de la URL secundaria, por lo tanto si el URI incluye una segunda URL apuntando a un archivo, éste se ejecutará en el contexto de la primera URL, produciendo una vulnerabilidad cross-site scripting.”

Para explotar la vulnerabilidad con éxito, el atacante podría colocar un archivo o un enlace modificado, y convencer al usuario con Firefox (por ejemplo), para que abra un URI, logrando con ello llegar a ejecutar código malicioso.

Gmail es vulnerable a este tipo de ataque, como casi cualquier otro sitio que permita a los usuarios subir archivos, imágenes, etc.

No existe una solución específica para este problema, aunque en el caso de Firefox, la utilización de NoScript (versión 1.1.7.8 y posteriores), pueden ayudar a prevenir la explotación de esta vulnerabilidad.

NoScript es un complemento (add-on) para Firefox, que sólo permite JavaScript, Java y otros plugins en los sitios web de confianza elegidos por el usuario.



Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion


Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
Furnte
En línea




Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion



Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

I´ll see you in the other side, I know it!
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Foros De Consulta General  |  Off-Topic (Moderadores: JorgeArt ™, ek_col)  |  Tema: Vulnerabilidad en JAR: en navegadores de Mozilla « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.5 | SMF © 2006-2007, Simple Machines LLC