Estas aquiContenido / Antigua vulnerabilidad resurge en nuevos Mozilla-Firefox

Antigua vulnerabilidad resurge en nuevos Mozilla-Firefox

PorReverendo- Publicado el06 Junio 2005

Una vulnerabilidad que data de siete años atrás vuelve a estar presente en las últimas versiones de Firefox (1.0.4) y Mozilla (1.7.8), pudiendo estar afectadas otras versiones también.

Se trata de un fallo clasificado como moderadamente crítico, que permite a sitios maliciosos inyectar información en frames de sitios fiables, que pasan así a mostrar contenidos falsificados (imaginen el resultado si le inyectan contenido falsificado a la página web de su banco on-line, por ejemplo)...

Nadie puede negar que la presunta mayor seguridad de la saga Mozilla-Firefox ha de ser puesta en entredicho, así como la cantinela de que al menos resuelven sus fallos mucho antes que lo hace el código propietario (léase Microsoft). En esta ocasión, han pasado ¡siete años!, y el fallo ha reaparecido o no ha sido eliminado.

Etiquetas

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Comprobado!
Enviado por fern el 6. Junio 2005 - 12:04.

Windows XP Home + Firefox 1.0.4

La demo funciona.

También comprobado con Debian ;-)
Enviado por mlorenzofr el 6. Junio 2005 - 13:10.

Debian GNU/Linux + mozilla-firefox 1.0.4-2

El PoC de Secunia también funciona y demuestra la vulnerabilidad con esta versión.

La versión de Mozilla Firefox usada es la que provee Debian en su repositorio de paquetes para la rama "testing".

NoScript
Enviado por JoseLo el 8. Junio 2005 - 5:39.

Uso Debian testing y no me pasa lo mismo. La razón puede ser que yo instalé NoScript: es una extensión que te permite activar/desactivar la ejecución de scripts en función del dominio.

--
Paso a paso que el camino es largo.

.
--
Por lo menos yo voté que NO.

No pasa nada
Enviado por WolverinX el 6. Junio 2005 - 14:23.

Tengo un SuSE 9.0, con FireFox 1.0.3, sigo los pasos que dan en Secunia, pero en la página de Microsoft del ejemplo, sigue el contenido de Microsoft, en ningun momento aparece contenido de Secunia en ninguno de los frames.

Otro positivo
Enviado por Memantina el 6. Junio 2005 - 15:54.

Fallo comprobado también en SuSE 9.2 Pro con Firefox 1.0.4

¡¡Quiero mi Firefox 1.0.5 ya!!

Yo no lo veo
Enviado por Envite el 6. Junio 2005 - 17:20.

Mozilla 1.7.8 de Debian testing

No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
- Voltaire -

No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -

Miraste bien?
Enviado por fern el 6. Junio 2005 - 17:22.

Se supone que tu versión está tocada de lleno.

¿Has seguido bien los pasos que se indican?

comprobado pero en una condiciones concretas
Enviado por Betuaelmon el 6. Junio 2005 - 21:44.

Si abres cada página de la prueba en diferentes ventanas y no en diferentes pestañas funciona.

Lo he probado en Netscape 8 de la misma manera y no se ve afectado. Además he probado con nivel de seguridad confío en el sitio y no estoy seguro con los dos motores de navegación.

Otro Positivo más!
Enviado por icaro_heaven el 7. Junio 2005 - 0:06.

Windows XP + Firefox 1.0.4

Menos mal que siempre navego con pestañas, rara vez hago simple clic izquierdo en los links, siempre click en la rueda para abrir el link en nueva pestaña...

Hasta nueva versión o patch pondré más atención en hacerlo...

No ocurre con la extensión Single Window
Enviado por CapHaddock el 7. Junio 2005 - 11:12.

Tras ejecutar el test de Secunia (Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.8) Gecko/20050511 Firefox/1.0.4) he comprobado que no se inyecta código.
Esto se ha debido a que tengo instalada la extensión Single Window v1.4, que abre en pestañas los enlaces que se muestran en ventanas independientes.

Patrocinadores

Kriptópolis alojado en
Zilos-Veloxia Network
Tu mejor defensa:
Bufet Almeida