Por Angela Ruiz
angela@videosoft.net.uy

De acuerdo al blog de seguridad de Mozilla, la vulnerabilidad reportada hace unos días en Firefox (ver ), sería de gravedad alta.

Un atacante podría valerse de este agujero, para obtener información del equipo atacado, incluyendo las cookies y el historial del usuario actual.

Sin embargo, Firefox no es vulnerable por defecto. Solo están en riesgo los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR.

Una lista parcial de estas extensiones puede verse en el siguiente enlace: https://bugzilla.mozilla.org/attachment.cgi?id=300181

Mozilla recomienda a los autores de estas extensiones realizar una actualización de las mismas, en un paquete .JAR.

Cómo anunciábamos hace unos días, el problema se produce por un error de filtrado en los caracteres utilizados para ciertos parámetros al manejarse el protocolo CHROME.

Este protocolo utiliza archivos escritos en XUL, un lenguaje XML creado para facilitar el desarrollo del navegador Mozilla.

La vulnerabilidad permite el acceso de un atacante a directores superiores, y a partir de allí, a partes sensibles del sistema.

Mozilla acelera la salida de su Firefox 2.0.0.12 para corregir este problema.


Más información:

Status update for Chrome Protocol Directory Traversal issue
Mozilla Security Blog » Blog Archives » Status update for Chrome Protocol Directory Traversal issue

Bug 413549 - Grep Addons for packages not using .jar
https://bugzilla.mozilla.org/show_bug.cgi?id=413451


Relacionados:

Vulnerabilidad en protocolo Chrome de Firefox
Vulnerabilidad en protocolo Chrome de Firefox








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus