Zalewski ataca de nuevo: grave vulnerabilidad en Firefox
Vaya mes. El inefable Zalewski acaba de publicar una nueva y gravísima vulnerabilidad en Firefox 2.0.0.1 y anteriores que permite que un sitio web malicioso pueda manipular las cookies de otro, saltándose así las políticas que obligan a que las cookies sólo puedan manipularse dentro de su contexto original y permitiendo posiblemente falsear el aspecto y el funcionamiento de esos sitios frente al usuario...
Zalewski ha puesto en marcha una demostración (requiere javascript activado) que desde el dominio *.dione.cc establece una cookie de prueba para *.coredump.cx. Al menos mi Firefox 2.0.0.1 bajo Linux cae como un pardillo.
- Mozilla Firefox Location.Hostname Dom Property Cookie Theft Vulnerability [SecurityFocus].
- Demo de Zalewski (requiere Firefox con Javascript).
- Zalewski cookie stealing / same-domain bypass vulnerability [Bugzilla].
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!