usuario
clave
iniciar sesión
regístrate
Portada
Canales
  • Apple
  • Blackhats
  • Ciencia
  • Comunicación
  • Curiosidades
  • e-Administración
  • Empresas
  • Eventos
  • Hardware
  • Nombramientos
  • Seguridad
  • Software
  • Software Libre
  • Telefonía
  • Videojuegos
  • Wireless
El Periódico
  • Blogs
  • Editorial
  • Entrevistas
  • Gadgets
  • Perfiles
  • Tags
  • Top noticias
  • Videorreportajes
  • Webcómics
Servicios
  • Boletines
  • Contactos
  • Formación
  • Minijuegos
  • Tienda
  • Viviendas
Comunidad
  • Encuestas
  • Foros
  • Emails de los lectores
  • Chat
Viviendas
Acción:
Propiedad:
Provincia:

Patrocinado por:
Tienda
Boletín semanal
Email:
Boletines publicados

Chef
  • Seguridad
  • Noticias
Otras noticias
  • El troyano Sober aumenta su peligrosidad a categoría 3
  • El 23% de las entidades españolas no tiene una estrategia de seguridad frente a ataques informáticos
  • La comunidad de noticias Reddit redirige involuntariamente a sus visitantes a un virus
  • Las claves de acceso a juegos online son el principal objetivo de las amenazas de mayo
  • El correo "España virus terrorista en agua potable" viene con troyano de regalo
  • Panda Software ofrece antivirus Platinum en cinco nuevos idiomas
  • Nueve boletines de seguridad para Firefox 3.0.11
  • Trend Micro registró 950 nuevos códigos maliciosos en junio, una ligera reducción respecto al mes de mayo
  • "Firefox no se congela, solo demora", según la Fundación Mozilla
  • Hong Kong es el Dominio de País más peligroso
Más noticias
En el foro
  • Cuando un virus se inicia antes que el SO
  • Desfragmentador de disco
  • ¿Son las empresas que fabrican antivirus las responsables de los virus?
  • ¿Alguna vez se te ha infectado el ordenador?
  • Seguridad en Centrales Hidroelectricas
Ir al foro de Seguridad
vulnerabilidades

Vulnerabilidad en JAR: en navegadores de Mozilla

Los navegadores basados en Mozilla, incluyendo Firefox, contienen una vulnerabilidad que puede permitir a un atacante la ejecución de código llevando a cabo ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

16 Nov 2007 | VS ANTIVIRUS
U

na prueba de concepto demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

El problema está ocasionado por una no adecuada separación de los datos obtenidos utilizando el protocolo JAR, y los datos ofrecidos por el propio sitio Web.

El protocolo JAR está diseñado para extraer contenido de archivos comprimidos .ZIP. Mozilla incluye soporte para JAR en sus productos (se manejan como URIs en el formato jar:[url]![/camino/archivo.ext]). El archivo comprimido no necesita tener una extensión .ZIP.

Según el blog de GNUCITIZEN, "el contenido de JAR: se ejecuta dentro del ámbito / origen de la URL secundaria, por lo tanto si el URI incluye una segunda URL apuntando a un archivo, éste se ejecutará en el contexto de la primera URL, produciendo una vulnerabilidad cross-site scripting."

Para explotar la vulnerabilidad con éxito, el atacante podría colocar un archivo o un enlace modificado, y convencer al usuario con Firefox (por ejemplo), para que abra un URI, logrando con ello llegar a ejecutar código malicioso.

Gmail es vulnerable a este tipo de ataque, como casi cualquier otro sitio que permita a los usuarios subir archivos, imágenes, etc.

No existe una solución específica para este problema, aunque en el caso de Firefox, la utilización de NoScript (versión 1.1.7.8 y posteriores), pueden ayudar a prevenir la explotación de esta vulnerabilidad.

NoScript es un complemento (add-on) para Firefox, que sólo permite JavaScript, Java y otros plugins en los sitios web de confianza elegidos por el usuario.

Tags: mozilla, navegadores, vulnerabilidades
Boletín

Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.

Comentarios
LaFlecha.net no se hace responsable del contenido de los comentarios publicados.
Entérate de cuándo hay nuevos comentarios

No se permitirán los comentarios que :
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia

Autor
Comentario
BBCode (Ayuda): [b], [i], [quote], [code]
Publicidad
Ahora en LaFlecha puedes encontrar cursos y másters

Teléfonos Móviles Videojuegos Informática Libros y Revistas
  • Acerca de LaFlecha
  • Contactar
  • Política de privacidad
  • RSS/RDF
  • Alojamiento web
  • Eventos Barcelona
  • Alquiler Limusinas
  • Fotografos Bodas
  • Mejores Casinos Online: Bonos de Casino
    Juegos de Casino
    Maquinas Tragaperras
    Casino Online
    Trucos de Ruleta
  • ¿Quieres saberlo todo sobre Hacking?