La compañía de seguridad danesa Secunia ha informado de dos fallos «extremadamente graves» en el navegador Firefox. Las vulnerabilidades serán resueltas, previsiblemente, en los próximos días y afectan a la última versión, la 1.0.3., aunque podrían encontrarse también en las anteriores.
Uno de los problemas está relacionados con los Iframes de las URLs JavaScript, que no están suficientemente protegidos y pueden permitir ejecutar código HTML remotamente.
El otro afecta a las entradas recibidas en el parámetro ‘IconURL’ de ‘InstallTrigger.install()’, que no son verificadas antes de ser utilizadas, lo que puede aprovecharse para ejecutar código JavaScript con privilegios escalados al usar una URL JavaScript especialmente formada a tal efecto. La explotación con éxito de esta vulnerabilidad requiere que el sitio tenga permitido instalar software (por defecto, los sitios que pueden hacerlo son update.mozilla.org y addons.mozilla.org), informa la compañía de seguridad Hispasec.
Sólo como solución temporal, Secunia recomienda deshabilitar el JavaScript de Firefox, usar otro navegador o no permitir a páginas instalar software. Según Secunia, ya existe en la Red un código -exploit- que permitiría a cualquiera con los suficientes conocimientos explotar todas estas vulnerabilidades.
Fuente Libertad Digital