Actualización: Los problemas de FireFox con los «javascript» se mantienen. Sin embargo, parece que ello no afecta a la «Cafetería» (Daniel el experto dixit), con lo cual se reabre el servicio.
Dado que más del 40% de los lectores de «Desde el exilio» utilizan FireFox como navegador, comunico que procedo a cerrar temporalmente la «Cafetería». Al parecer, desde esta mañana se han hecho públicos dos fallos severos de seguridad en FireFox. Es posible introducir scripts extraños a través de javascript.
La «Cafetería» reabrirá en cuanto se solucionen los problemas con FireFox.
La noticia:
Mozilla Firefox Two Vulnerabilities
Description:
Two vulnerabilities have been discovered in Firefox, which can be exploited by malicious people to conduct cross-site scripting attacks and compromise a user’s system.1) The problem is that «IFRAME» JavaScript URLs are not properly protected from being executed in context of another URL in the history list. This can be exploited to execute arbitrary HTML and script code in a user’s browser session in context of an arbitrary site.
2) Input passed to the «IconURL» parameter in «InstallTrigger.install()» is not properly verified before being used. This can be exploited to execute arbitrary JavaScript code with escalated privileges via a specially crafted JavaScript URL.
Successful exploitation requires that the site is allowed to install software (default sites are «update.mozilla.org» and «addons.mozilla.org»).
A combination of vulnerability 1 and 2 can be exploited to execute arbitrary code.
NOTE: Exploit code is publicly available.
The vulnerabilities have been confirmed in version 1.0.3. Other versions may also be affected.
Solution:
Disable JavaScript.Provided and/or discovered by:
john smithPlease note: The information, which this Secunia Advisory is based upon, comes from third party unless stated otherwise.
Secunia collects, validates, and verifies all vulnerability reports issued by security research groups, vendors, and others.
Para más información: Secunia services
Gracias Daniel por la explicación técnica.
Yo es que soy muy burro para estas cosas… 😉
Creo, klaus meyer, que la maravilla reside en el código abierto. Para entendernos, eso significa que cualquiera tiene derecho a echar una ojeada al código fuente del programa en cuestión, analizarlo y ver sus virtudes y posibles vulnerabilidades.
Cierto que un 90% de los internautas usan el MS Internet Explorer, frente al 5% que usan Firefox (fuente: PC World España, mayo de 2005). Y si aparece una vulnerabilidad en uno sólo de los navegadores, la proporción de internautas afectados será muy diferente. Y la experiencia demuestra que las personas no cuidan mucho su privacidad.
Esto me recuerda un chiste de un comic: Alguien estaba instalando un anti-virus a su computadora (cubierta con una manta, a la manera como se fumigan casa en los EEUU), el instalador le dice al cliente: «Al finalizar su computadora PC será prácticamente inmune a los virus». Terminada la «fumigación, retira la manta o lona y ¡aparece una Mac!
¿Estos navegadores «alternativos», Mozilla, FireFox, que son puestos por los cuernos de la luna por sus acólitos, no serán tan maravillosos en tanto minoritarios, es decir, mientras no sean apetecibles como víctimas del crackers?
Bueno, como ya te han contado más arriba se necesita una combinación de varios parámetros para poder llegar a hacer algo nocivo. De hecho, es casi imposible, ya que tienen que se necesita:
– Un sitio web con código malicioso
– Que tengas autorizado a tu Firefox para que pueda instalar software desde ese sitio.
Aunque claro, nunca hay que menospreciar la torpeza humana, sabiendo lo que somos capaces de hacer por una taza de café
Menos mal que abres, Luis. Creí que nunca más volvería a ver a Ulrike… 😉
Pues nada, gracias Daniel. Abriremos el «bar» de nuevo, no sea que a alguno le de el mono y decida beberse el «Varón Dandy».
No sé si la cafetería puede dar problemas de seguridad, pero vamos, no veo razones a partir de la info que das. Además, esos problemas que describe se dan si ejecutan código malicioso aprovechándose del agujero en cuestión; imagino que la cafetería no tendrá código malicioso y mala persona.
Pues sí, Diego. Somos más de los que creemos.
No sabía que éramos tantos usando Mozilla… lo mío es por necesidad, en el curro nos tienen bloqueado el Explorer.
Daniel, gracias, lo corrijo. Qué pasa con el chat?
Eeeemmmm… el problema es de Javascript, no de Java. Pese a la similitud en sus nombres, no tienen nada que ver uno con otro.