• Tweet

Los expertos en seguridad han detectado dos vulnerabilidades (aun no parchadas) en el popular navegador Firefox. Los huecos de seguridad afectan a la última versión de Firefox (versión 1.0.3) y crea los medios para que los atacantes tomen el control del sistema vulnerable utilizando ataques del tipo cross-site scripting.

Una vulnerabilidad habilita código JavaScript arbitrario con privilegios mayores para ser ejecutado mediante un URL especialmente creado. Para aprovechar la vulnerabilidad se requiere que al sitio se le permite instalar software (el sitio por default es "update.mozilla.org" y "addons.mozilla.org"). Se debería reducir drásticamente el alcance del error - pero para el segundo hueco de seguridad, invlucra URLs JavaScritp "IFRAME", el cual crea los medios para ejecutar HTML arbitrario y scripts en el contexto de un sitio arbitrario.

De acuerdo con la empresa de seguridad Secunia, una combianción de las dos vulnerabilidades pueden ser explotadas para ejecutar código arbitrario sobre sistemas vulnerables. El código del exploit se ha propagado a través de la red ampliamente, lo cual incrementa la posibilidad de recibir un ataque. Las vulnerabilidades descritas por Secunia son descritas como extremádamente críticas han sido confirmadas en la versión 1.0.3 de firefox. Otras versiones también pueden ser afectadas.

A los usuarios se les ha prevenido deshabilitar las opciones de JavaScript e instalación dentro de Firefox.