Mozilla incluye un objeto denominado XMLHttpRequest, el cual permite realizar
peticiones HTTP a archivos XML desde una página de internet. Este objeto es
vulnerable y puede permitir la lectura de archivos locales del usuario que
visite un sitio que aproveche la falla.
El problema puede ser explotado accediendo mediante el método Open de dicho
objeto a una página que redireccione a un archivo local/remoto en un equipo
vulnerable, de manera que Mozilla cree que se encuentra en la Zona Local, cuando
en realidad se está accediendo a los mismos desde un sitio de internet.
Esta misma falla también puede ser aprovechada para listar el contenido de
un directorio, lo que lo hace un problema de seguridad bastante grave, superior
aún a una falla anterior en el Internet Explorer en un objeto similar.
Las versiones probadas van desde la 0.9.6 hasta la 1.0.0 RC1 en distintas
plataformas, como Windows, FreeBSD y Linux. La solución al problema es instalar
la última versión del Mozilla, disponible en la siguiente dirección:
http://ftp.mozilla.org/pub/mozilla/nightly/latest-1.0.0/
Las próximas versiones de Mozilla incluirán solución a este problema. |
