Una vulnerabilidad en Firefox puede permitir a los atacantes leer información confidencial de los usuarios



Se ha encontrado una nueva vulnerabilidad en Firefox que puede hacer que mediante webs elaboradas por los hackers leer información confidencial de los usuarios… por el momento el equipo de desarrollo de Mozilla está investigando el problema.

Hay un demostración de este ataque en la web hiredhacker.com, en la que se puede ver como una página web puede tener acceso a la configuración guardada en el cliente de correo de Thunderbird, sin embargo para que esta vulnerabilidad pueda ser aprovechada por los hackers, requiere que se tenga un add-on instalado en Firefox que no esté empaquetado como un archivo .jar.

Según el equipo de desarrollo de Mozilla, una página web puede acceder como hrome:// URL, utilizando por ejemplo comandos para pagar imágenes, scripts o hojas de estilo. Firefox al no convertir los caracteres codificados %2e%2e%2f en esas direcciones y tampoco las filtra, hace que se puedan leer archivos arbitrarios.

El uso de este método puede hacer que los Hackers puedan comprobar si hay programas específicos o add-ons instalados, para de esta manera poder inyectar un código malicioso a través de páginas webs.

Por el momento no se ha lanzado un parche para solucionar esta vulnerabilidad.

Fuente