Ocultamiento de scripts en Firefox (JavaScript Ghost)

ún cuando en principio también sería vulnerable el navegador Opera, en el aviso original del descubridor de este problema, "Seniorennet.be", se informa que aunque Opera tiene este fallo, no representa en este caso un riesgo de seguridad (no se aportan más detalles). Pero además de ello, se afirma que no son vulnerables las versiones actuales de Firefox, y tampoco las de Netscape.

Sin embargo, según revela "CyruxNET.org", Firefox 1.0.4 también sería afectado, aunque por una variante del exploit que se aprovecha de dicha vulnerabilidad.

El equipo de CyruxNET realizó varias pruebas, tanto con Internet Explorer 6 con SP2, como con la última versión de Firefox (la 1.0.4) (ver el artículo completo en http://www.cyruxnet.org/ghost_firefox.htm).

De acuerdo a estas pruebas, al menos una de las variantes creadas a partir del exploit original publicado por Pascal Vyncke de Seniorennet, puede ser empleada también en Firefox, para que un atacante remoto ejecute código javascript desde una página web sin que el visitante lo llegue a visualizar.

Aunque se especula (tanto con el Internet Explorer, como con el Firefox), que esto podría ocasionar que algunos programas antivirus no llegaran a analizar bajo estas condiciones el código fuente para interceptar aquellos scripts que pudieran contener código malicioso (gusanos, troyanos, etc.), esto no es totalmente cierto, ya que ello depende del nivel al que se realice este análisis, el que siempre debería ser hecho antes de que llegue al navegador (al menos con el módulo IMON de NOD32 ello es lo que ocurriría).

El módulo IMON forma parte de los módulos de análisis en el acceso de NOD32, que actúan como filtro específico para las comunicaciones entre nuestro equipo e Internet, y contiene su propio subsistema para el análisis del tráfico HTTP evitando las infiltraciones que ocurren al acceder a páginas maliciosas o al descargar archivos.

En otros casos, sobre todo como complemento de otras técnicas de phishing, tal vez si puedan existir más posibilidades de que esta vulnerabilidad llegue a ser utilizada, aunque no está claro como afectaría su interacción con el usuario.

Recordemos que este problema se produce porque los navegadores afectados no procesan correctamente ciertos códigos de javascript. De este modo, un archivo HTML modificado maliciosamente, puede hacer que cuando la página sea cargada por el usuario, éste no visualice el contenido de dicho código siempre que invoque la opción "Ver Código fuente".

Para Firefox, una prueba de concepto está disponible en el siguiente enlace:

http://www.cyruxnet.org/demo_ghost_firefox.htm


Referencias:

Firefox 1.0.4 vulnerable al "JavaScript Ghost bug" modificado
http://www.cyruxnet.org/ghost_firefox.htm

WARNING: Javascript bug IE 6
http://research.seniorennet.be/Techresearch/Javascript_security_flaw_bug_ie_6
/security_flaw_bug_javascript_ie_6_internet_explorer.php

Microsoft Internet Explorer Lets Remote Users Obfuscate Scripting Code
SecurityTracker Alert ID: 1014174 
http://securitytracker.com/id?1014174