Friday, February 16, 2007

FEBRERO DE 2007 BETA 2. MES DE LAS VULNERABILIDADES EN SOLARIS + FIREFOX

Vaya vaya vaya, pero vaya mes.

Tremenda vulnerabilidad en Firefox (invito desde aquí abiertamente a todos los técnicos -NO LESS POR FAVOR- a que se atrevan a probarlo y a decir que Firefox es infinitamente más seguro que IE7). Venga venga, adelante. Comentarios a este post, por favor.


Nuestro más que inestimable y querido amigo "Zalewski", acaba de publicar una nueva y gravísima vulnerabilidad en Firefox 2.0.0.1 y anteriores, que permite que un sitio web malicioso pueda manipular las cookies de otro, saltándose así las políticas que obligan a que las cookies sólo puedan manipularse dentro de su contexto original, y permitiendo falsear el aspecto y el funcionamiento de esos sitios frente al usuario...


Ver solución provisional


Zalewski ha puesto en marcha una demostración (requiere tener javascript activado) que desde el dominio *.dione.cc establece una cookie de prueba para *.coredump.cx. Con el Firefox 2.0.0.1 que he probado en Windows XP SP2, ha caído como un pardillo violetero. Pero de los pardillos que cobraban en el colegio y les quitaban el bocata a base de bien.


Mozilla Firefox Location.Hostname Dom Property Cookie Theft Vulnerability --> SecurityFocus.


Demo de Zalewski --> no olvidéis que requiere Firefox con Javascript).


Zalewski cookie stealing / same-domain bypass vulnerability --> sitio de Bugzilla.


Y LAS VULNERABILIDADES DE WINDOWS VISTA???


;)

2 comments:

Gura said...

Tendrás algún comentario del tipo:
"Ejqueee io voy si javascrí siempre, que te poensash"

Por que claro, cuando para reventarlo hace falta algo, siempre recurren al "Yo no lo tengo activado" o "No lo uso".

El Elegido said...

Ya te digo....

Veo que has sufrido de cerca el suplicio de aguantar a Técnicos-Less....

Saludos Gura.