Vulnerabilidad en JAR: en navegadores de Mozilla
Por Angela Ruiz
[email protected]
Los navegadores basados en Mozilla, incluyendo Firefox,
contienen una vulnerabilidad que puede permitir a un atacante
la ejecución de código llevando a cabo ataques del tipo
Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir
las restricciones para ejecutar scripts (archivos de
comandos), en ventanas pertenecientes a diferentes dominios.
Una prueba de concepto demuestra que los usuarios de Gmail,
pueden ser víctimas fáciles de este tipo de ataque, si
utilizan por ejemplo Firefox para ingresar a su cuenta Web.
El problema está ocasionado por una no adecuada separación de
los datos obtenidos utilizando el protocolo JAR, y los datos
ofrecidos por el propio sitio Web.
El protocolo JAR está diseñado para extraer contenido de
archivos comprimidos .ZIP. Mozilla incluye soporte para JAR
en sus productos (se manejan como URIs en el formato
jar:[url]![/camino/archivo.ext]). El archivo comprimido no
necesita tener una extensión .ZIP.
Según el blog de GNUCITIZEN, "el contenido de JAR: se ejecuta
dentro del ámbito / origen de la URL secundaria, por lo tanto
si el URI incluye una segunda URL apuntando a un archivo,
éste se ejecutará en el contexto de la primera URL,
produciendo una vulnerabilidad cross-site scripting."
Para explotar la vulnerabilidad con éxito, el atacante podría
colocar un archivo o un enlace modificado, y convencer al
usuario con Firefox (por ejemplo), para que abra un URI,
logrando con ello llegar a ejecutar código malicioso.
Gmail es vulnerable a este tipo de ataque, como casi
cualquier otro sitio que permita a los usuarios subir
archivos, imágenes, etc.
No existe una solución específica para este problema, aunque
en el caso de Firefox, la utilización de NoScript (versión
1.1.7.8 y posteriores), pueden ayudar a prevenir la
explotación de esta vulnerabilidad.
NoScript es un complemento (add-on) para Firefox, que sólo
permite JavaScript, Java y otros plugins en los sitios web de
confianza elegidos por el usuario.
* Relacionados:
NoScript
https://addons.mozilla.org/es-ES/firefox/addon/722
* Referencias:
Vulnerability Note VU#715737
Mozilla-based browsers jar: URI cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/715737
Web Mayhem: Firefox's JAR: Protocol issues
http://tinyurl.com/yq32wp
Bug 369814 (jarxss) – jar: protocol is an XSS hazard due to ignoring mime type and being considered same-origin with hosting site
https://bugzilla.mozilla.org/show_bug.cgi?id=369814
Severe XSS in Google and Others due to the JAR protocol issues
http://tinyurl.com/25wyhx
* Créditos:
PDP (GNUCITIZEN)
Fuente: http://www.vsantivirus.com/vul-mozilla-jar-071107.htm
[email protected]
Los navegadores basados en Mozilla, incluyendo Firefox,
contienen una vulnerabilidad que puede permitir a un atacante
la ejecución de código llevando a cabo ataques del tipo
Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir
las restricciones para ejecutar scripts (archivos de
comandos), en ventanas pertenecientes a diferentes dominios.
Una prueba de concepto demuestra que los usuarios de Gmail,
pueden ser víctimas fáciles de este tipo de ataque, si
utilizan por ejemplo Firefox para ingresar a su cuenta Web.
El problema está ocasionado por una no adecuada separación de
los datos obtenidos utilizando el protocolo JAR, y los datos
ofrecidos por el propio sitio Web.
El protocolo JAR está diseñado para extraer contenido de
archivos comprimidos .ZIP. Mozilla incluye soporte para JAR
en sus productos (se manejan como URIs en el formato
jar:[url]![/camino/archivo.ext]). El archivo comprimido no
necesita tener una extensión .ZIP.
Según el blog de GNUCITIZEN, "el contenido de JAR: se ejecuta
dentro del ámbito / origen de la URL secundaria, por lo tanto
si el URI incluye una segunda URL apuntando a un archivo,
éste se ejecutará en el contexto de la primera URL,
produciendo una vulnerabilidad cross-site scripting."
Para explotar la vulnerabilidad con éxito, el atacante podría
colocar un archivo o un enlace modificado, y convencer al
usuario con Firefox (por ejemplo), para que abra un URI,
logrando con ello llegar a ejecutar código malicioso.
Gmail es vulnerable a este tipo de ataque, como casi
cualquier otro sitio que permita a los usuarios subir
archivos, imágenes, etc.
No existe una solución específica para este problema, aunque
en el caso de Firefox, la utilización de NoScript (versión
1.1.7.8 y posteriores), pueden ayudar a prevenir la
explotación de esta vulnerabilidad.
NoScript es un complemento (add-on) para Firefox, que sólo
permite JavaScript, Java y otros plugins en los sitios web de
confianza elegidos por el usuario.
* Relacionados:
NoScript
https://addons.mozilla.org/es-ES/firefox/addon/722
* Referencias:
Vulnerability Note VU#715737
Mozilla-based browsers jar: URI cross-site scripting vulnerability
http://www.kb.cert.org/vuls/id/715737
Web Mayhem: Firefox's JAR: Protocol issues
http://tinyurl.com/yq32wp
Bug 369814 (jarxss) – jar: protocol is an XSS hazard due to ignoring mime type and being considered same-origin with hosting site
https://bugzilla.mozilla.org/show_bug.cgi?id=369814
Severe XSS in Google and Others due to the JAR protocol issues
http://tinyurl.com/25wyhx
* Créditos:
PDP (GNUCITIZEN)
Fuente: http://www.vsantivirus.com/vul-mozilla-jar-071107.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!