Vaya vaya vaya, pero vaya mes.
Tremenda vulnerabilidad en Firefox (invito desde aquí abiertamente a todos los técnicos -NO LESS POR FAVOR- a que se atrevan a probarlo y a decir que Firefox es infinitamente más seguro que IE7). Venga venga, adelante. Comentarios a este post, por favor.
Nuestro más que inestimable y querido amigo "Zalewski", acaba de publicar una nueva y gravísima vulnerabilidad en Firefox 2.0.0.1 y anteriores, que permite que un sitio web malicioso pueda manipular las cookies de otro, saltándose así las políticas que obligan a que las cookies sólo puedan manipularse dentro de su contexto original, y permitiendo falsear el aspecto y el funcionamiento de esos sitios frente al usuario...
Ver solución provisional
Zalewski ha puesto en marcha una demostración (requiere tener javascript activado) que desde el dominio *.dione.cc establece una cookie de prueba para *.coredump.cx. Con el Firefox 2.0.0.1 que he probado en Windows XP SP2, ha caído como un pardillo violetero. Pero de los pardillos que cobraban en el colegio y les quitaban el bocata a base de bien.
Mozilla Firefox Location.Hostname Dom Property Cookie Theft Vulnerability --> SecurityFocus.
Demo de Zalewski --> no olvidéis que requiere Firefox con Javascript).
Zalewski cookie stealing / same-domain bypass vulnerability --> sitio de Bugzilla.
Y LAS VULNERABILIDADES DE WINDOWS VISTA???
;)
Subscribe to:
Post Comments (Atom)
Posts
2 comments:
Tendrás algún comentario del tipo:
"Ejqueee io voy si javascrí siempre, que te poensash"
Por que claro, cuando para reventarlo hace falta algo, siempre recurren al "Yo no lo tengo activado" o "No lo uso".
Ya te digo....
Veo que has sufrido de cerca el suplicio de aguantar a Técnicos-Less....
Saludos Gura.
Post a Comment