La gente de Firefox ha confirmado, mediante su jefe de seguridad, la existencias de una falla de seguridad que permitiría fuga de información del sistema mediante un error en el control de códigos que, aún operando bajo versiones completamente parchadas, es vulnerable al ataque de crackers que se valgan además de exploits o troyanos para actos delictivos.


La confirmación, que ha sido posteada aquí por el Mozilla’s Windows Snyder, sigue la liberación de un código de prueba conceptual proporcionada por el investigador Gerry Eisenhaur.

El bug proviene de un protocolo cromado de esquema de Firefox y permite acceso a un directorio transversal cuando cierto tipo de extensiones son instaladas. Los atacantes podrían usarlo para detectar programas o archivos que están presentes en la máquina, ganando acceso a información que podría usar para perpetrar actos delictivos valiéndose de sofware malicioso como un exploit.

Normalmente, el paquete cromado de Firefox está restringido a un número limitado de directorios, pero el bug en el camino escapa de esta secuencia (i.e. %2e%2e%2f) permitiéndoles a los atacantes escapar de estos confines y acceder a zonas mas delicadas de la computadora del usuario. El exploit solo funciona si el usuario hace uso de extensiones Firefox que se encuentran sueltas, es decir, que no se encuentran dentro de un paquete de documentos en un archivo jar. Ejemplos de estos Add-ons incluyen el Download Statusbar y Greasemonkey.

Los testers de los bugs de Mozilla han probado la gravedad del bug y lo han calificado como normal y actualmente estan trabajando en él para solucionarlo. Mientras tanto, los usuarios de Firefox pueden protegerse a si mismos usando la extensión NoScript, que prevendrá el acceso de ataques transversales mientras trabajan.

Enlace: Extensión NoScript | Vía: The Register

Compartir en Facebook Compartir en Twitter

Comentarios ( 4 ) en: Mozilla confirma bug de fuga de datos en Firefox
  • Adrian dijo:
    February 1st, 2008 at 5:34 pm

    Que tal KnxDT.

    Tu blog es muy interesante, tengo algunos dias apenas de conocerlo, y siempre termino con ganas de regresar.

    Gracias y saludos.

  • KnxDT dijo:
    February 1st, 2008 at 5:55 pm

    Hola adrian, gracias por tu visita. Me alegro que te guste el blog y bueno … te seguiré esperando por aquí entonces.

    Un saludo.

  • Tiux dijo:
    February 1st, 2008 at 10:50 pm

    Buena informacion. Gracias!
    A proposito, The Register es una fuente interesante de informacion, hace poco fue ahi el unico lugar donde Google encontro un articulo tecnico sobre IPTV.

  • KnxDT dijo:
    February 1st, 2008 at 11:07 pm

    Yo recientementemente la he comenzado a visitar a raíz de unos artículos de seguridad y terminó siendo confiable y también tiene buenas fuentes.