Vulnerabilitati in Mozilla Firefox

Au fost descoperite doua vulnerabilitati in Mozilla Firefox, acestea putand fi exploatate de atacatori pentru a lansa atacuri de tip Cross-Site Scripting (XSS) sau pentru a compromite un sistem vulnerabil.

Prima problema este cauzata de lipsa de verificari corecte de securitate la instantierea si executia de date prin intermediul adreselor URL de tip JavaScript situate intr-un element de tip IFRAME.

Astfel, este posibil ca la vizitarea unui sit special pregatit de atacatori, urmarea unui astfel de link poate conduce la executia de cod in contextul unui sit a carui adresa este prezenta in lista de situri deja vizitate.

Aceasta poate fi exploatata pentru executia de cod arbitrar HTML sau script in sesiunea de browser a unui utilizator in cadrul unui sit arbitrar.

Datele introduse prin intermediul parametrului IconURL in functia InstallTrigger.install() nu sunt verificate corect inainte de a fi folosite. Aceasta poate fi exploatata pentru a executa cod JavaScript cu privilegii speciale prin intermediul unei adrese URL JavaScript special modificate.

Vulnerabilitatile au fost confirmate in versiunea 1.0.3, insa exista posibilitatea ca si versiunile anterioare sa fie afectate. La momentul lansarii acestei alerte nu exista un patch sau o versiune mai noua care sa corecteze aceste probleme.

Ca urmare este recomandat sa dezactivati fie suportul pentru JavaScript, fie optiunea Allow web sites to install software (din meniul Options –> Web Features).