Nuevo fallo en Firefox amenaza a Gmail (2)

Enviado por admin el 13. Noviembre 2007 - 19:06.

A juzgar por los comentarios, veo que no se entendió mi enigmático aviso de ayer, así que lo diré más claro: mientras Mozilla no corrija el problema, sólo NoScript previene que podamos sufrir un XSS a través de la redirección abierta que permite Google.

Por ejemplo, este enlace a Google nos lleva a Kriptópolis (y lo mismo ocurre -por cierto- si lo invocamos con https). Pero además, si en esa URL colocamos un enlace jar:// a un recurso malicioso, Firefox (sin NoScript, insisto) se lo traga como si procediese de Google y además permite la ejecución en ese mismo contexto, lo que podría hacer peligrar -por ejemplo- nuestra cuenta Gmail.

En definitiva: es un problema de Firefox, pero que puede explotarse vía sitios que permiten a sus usuarios subir imágenes (algunos foros, por ejemplo) o mediante sitios -como Google- que permiten redirecciones...

En concreto, la vulnerabilidad de Firefox reside en el protocolo jar:, que es utilizado internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos.

Por ejemplo, al cargar una dirección como la siguiente:

jar:http://servidor.com/archivo.jar!/imagenes/loquesea.jpg

Firefox descarga primero el fichero comprimido archivo.jar del servidor, y después extrae el fichero loquesea.jpg en el ordenador cliente.

El problema (y la vulnerabilidad) radica en que Firefox confía en que cualquier dirección que empiece por jar siempre llevará a un fichero comprimido jar, aunque su extensión o el Content-type de las cabeceras http hagan pensar lo contrario.

Por tanto, un atacante malicioso puede crear un fichero html conteniendo código Javascript, comprimirlo y renombrarlo como mi_avatar.jpg. El atacante va ahora a un foro y sube esa "imagen" como su avatar. Después, en un post incluye un enlace en la forma siguiente:

jar:http://foro_victima.com/imagenes/avatares/mi_avatar.jpg!
mi_script_malicioso.html

Un usuario de Firefox que cliquee sobre el enlace sufre la carga y ejecución del script malicioso, que se ejecuta además en el contexto de foro_victima.com

La otra forma posible de explotación consiste en utilizar un sitio -como Google- que permita redireccionar peticiones, de forma que el jar que incluye el script malicioso hereda el contexto de seguridad del sitio que redirige, incluso aunque el script esté alojado en el propio sitio del atacante. En este caso -como se ve- ni siquiera es necesario subir ficheros a ningún foro, aunque se sigue requiriendo que el usuario haga clic sobre el enlace malicioso y que permite la ejecución de scripts.

Espero que ahora se entienda mejor, pero si todavía quedan dudas os recomiendo la explicación de Sergio Maone (autor de NoScript) y un vistazo a este ejemplo sobre cómo utilizar la redirección de Google para phishing, un aviso que tiene más de un año, pero que no fue suficiente para que Google cerrara de una vez tan peligrosa puerta.

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.
Firefox, morir de exito por anónimo
Hombre... por anónimo
Tener el código cerrado no por anónimo
Que bueno que aclaras por rmat_rix21
Aquí te esperamos por anónimo
Lo mismo digo por anónimo
Solución Posible por Decoy
Cuanta piedad! por anónimo
el explorer por anónimo
Poquito mala baba, ¿no? por anónimo
Safari con Lepoard por anónimo
muchos creen por anónimo
¿"Bloke de concreto", por anónimo
bloque de concreto = hormigón armado en España por anónimo
firefox es una mierda por anónimo
Hay forma de poner a prueba otros navegadores? por anónimo
opera tampoco es tanta cosa por anónimo
Que viva la variedad y que mueran los pendejos por anónimo

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...