Vurnerabilidad en Firefox

Question

Vurnerabilidad en Firefox

#1302# 30 may 2006 19:07

Se ha encontrado una vulnerabilidad en Firefox que puede ser aprovechada por atacantes para revelar información del sistema.

Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el navegador web del proyecto Mozilla, un producto cuya popularidad y número de usuario crece cada día.

El problema se debe a que se incluye información sobre una ruta determinada en excepciones que lanza el navegador, de forma que se pueden conocer datos del sistema (ruta de instalación, o ruta del perfil del usuario) al invocar ciertos comandos JavaScript con parámetros inválidos.

El problema ha sido confirmado en la versión 1.5.0.3, aunque otras podrían verse afectadas. Se recomienda deshabilitar el JavaScript.

Fuente: Hispasec

No trato de decir nada malo de Firefox, es más yo lo uso. Solo pongo esto para que todos lo sepan, nada mas, asi que tened cuidadin donde navegais

.

NOTA: No pretendo iniciar una guerra IE vs FF u Opera Vs FF, Opera/IE Users, abtenerse...

11 respuestas

Answer 1 · 2006-05-30T18:18:47+00:00

Bueno... eso de deshabilitar javascript me parece bastante exagerado. En mi opinión mucho mejor sería utilizar NoScript, que para eso está.

Saludos

Answer 2 · 2006-05-30T18:44:15+00:00

Txukie 30 may 2006 19:44

Chasing dreams

7.369 mensajes
desde sep 2002
en Bilbao

Página web de Txukie Facebook de Txukie Twitter de Txukie Gamertag: TxukieTxiki PSN ID: TxukieTxiki Steam ID: txukie

Y porque sepan la ruta del perfil de mi usuario es peligroso? No se no veo que sea algo muy grave o si?

Cafetino 30 may 2006 22:01 SPIN ON! **6.097** mensajes desde **ago 2001** · Answer 3 · 2006-05-30T21:01:27+00:00

Que miedo me da ese bug xDDD

Aun así, que utilidad tiene para un "atacante" conocer esa información?

coyote escribió:[i]
NOTA: No pretendo iniciar una guerra IE vs FF u Opera Vs FF, Opera/IE Users, abtenerse...

No creo que pase... y si pasa sera porque diran alguna que otra estupidez [poraki]

Salu2

Answer 4 · 2006-05-30T21:46:46+00:00

Hola,

en Ubuntu se habló de esto hará uno o dos días. Ya está reportado y creo que incluso arreglado. La conclusión a la que se llegó era que NO era una vulnerabilidad, ya que no se puede explotar, pero que se pierde parte de la posible privacidad en esos datos personales (del nombre del usuario del sistema se pueden sacar datos, o incluso donde tiene los programas...).

No es importante, pero se debe corregir.

Comentar que este bug ha sido descubierto INVESTIGANDO el código fuente y haciendo pruebas de las conclusiones sacadas.

Saludos.

#1302# 31 may 2006 15:08 * · Answer 5 · 2006-05-31T14:08:27+00:00

Pues aqui tenemos otra:

Etiqueta "Marquee" provoca DoS en Mozilla Firefox

Mozilla Firefox es propenso a una vulnerabilidad capaz de provocar una denegación de servicio, cuando el navegador intenta procesar cierto contenido HTML, y falla al no poder manejar una condición no prevista.

La explotación exitosa de este problema, puede permitir a un atacante remoto provocar un consumo excesivo de recursos del procesador en los equipos con las versiones vulnerables del browser, haciendo que estos dejen de responder.

Se ha comprobado esta vulnerabilidad en Mozilla Firefox 1.5.0.3. Versiones anteriores también podrían ser afectadas.

Una prueba de concepto, consistente en varias etiquetas anidadas, está disponible en Internet.

Fuente:
VSAntivirus

Answer 6 · 2006-05-31T16:36:29+00:00

eTc_84 escribió:Si no me equivoco el no está ni incluido en los estándares HTML.. con lo fácil que sería ignorarlo...

A ver si lo solucionan.

Cierto. El problema es que ya sabes lo que diría la gente:
"El firefox es una puta mierda. No me abre bien ninguna página. El Explorer sí me las abre todas. Blah blah blah".

Answer 7 · 2006-05-31T16:39:55+00:00

yanosoyyo escribió:Cierto. El problema es que ya sabes lo que diría la gente:
"El firefox es una puta mierda. No me abre bien ninguna página. El Explorer sí me las abre todas. Blah blah blah".

argh borré el mensaje porqué estaba buscando exactamente si estaba o no en el estandar, para no meter la pata...
El problema no es el firefox, el problema es no seguir los estándares, aunque seguro que tardan poco en solucionar el bug.

#43136# 31 may 2006 17:45 · Answer 8 · 2006-05-31T16:45:34+00:00

yanosoyyo escribió:
Cierto. El problema es que ya sabes lo que diría la gente:
"El firefox es una puta mierda. No me abre bien ninguna página. El Explorer sí me las abre todas. Blah blah blah".

El día triste sea el que vean las pestañas del nuevo IE7 y digan !Ala, estos de Microsoft que innovadores que son, que útiles son las pestañas!

Answer 9 · 2006-05-31T16:51:54+00:00

eTc_84 escribió:argh borré el mensaje porqué estaba buscando exactamente si estaba o no en el estandar, para no meter la pata...
El problema no es el firefox, el problema es no seguir los estándares, aunque seguro que tardan poco en solucionar el bug.

Pero ya sabes cómo es la gente. A mí me volvieron a recordar la semana pasada lo malo que es el ooo, que ni siquiera es compatible con el Ms Office y lo pringado que soy por usar ese programa en vez de usar el "ofis", como todo el mundo.

Answer 10 · 2006-05-31T17:03:13+00:00

yanosoyyo escribió:
Cierto. El problema es que ya sabes lo que diría la gente:
"El firefox es una puta mierda. No me abre bien ninguna página. El Explorer sí me las abre todas. Blah blah blah".

Más razón que un santo tienes ahí. Desde luego es cierto eso de que "la ignorancia es la felicidad".
Como me ralla esa gente obcecada en hacer lo que les dictan.

Saludos

Answer 11 · 2006-05-31T20:07:25+00:00

Hola,

tanto "blink" (texto parpadeante) y "marquee" fueron eliminados de los estándares W3C con la versión 1.0 de XHTML.

Saludos.