Español | English
rss facebook linkedin Twitter

Vulnerabilidad de Cross Browser Scripting en IE y Firefox

Recientemente se ha publicado en diversos blogs la posibilidad de realizar ataques maliciosos basados en una vulnerabilidad de Cross Browser Scripting entre Internet Explorer (IE) y Firefox.

La vulnerabilidad en sí, permite a un atacante ejecutar código malicioso de manera remota, siempre que la víctima esté utilizando IE y además tenga instalado Firefox. El ataque consiste en conseguir que la víctima utilice su IE para navegar hasta una página específicamente diseñada para el ataque. Una vez en ella, la víctima hará sin ser consciente, una llamada al navegador Firefox al que pasará cierto código malicioso. Debido a una vulnerabilidad de Firefox, éste no verifica la validez de los datos que le llegan desde el IE y en consecuencia ejecutará el temido código.

Una prueba de concepto de este interesante ataque puede encontrarse aquí. Se basa en utilizar un manejador de Firefox para clientes web basados en IE en la línea de direcciones del navegador. Este manejador es firefoxurl y viene a equivaler a otros manejadores de protocolos más conocidos como ftp. Puede verse cómo se consigue que Firefox haga distintas acciones del tipo: ejecutar una consola (cmd.exe), crear un perfil en la máquina local, cargar archivos almacenados en el disco duro, etc. Como ya hemos dicho, esto se debe a que los parámetros se pasan directamente como opciones, las cuales no son validadas por Firefox.

1 comentario:

Anónimo dijo...

Prueba comentariossss


(+34 902 222 521)


24 horas / 7 días a la semana



© Copyright S21sec 2013 - Todos los derechos reservados


login