Este dia me di cuenta que desde ayer estan anunciando que la nueva version de firefox y anteriores tienen un error en los archivos JAR.
Dado a ese error el atacante puede a usar XSS para obtener datos para entrar en tus cuentas de google.
Por ejemplo al cargar una direccion como esta
jar:http://servidor.com/archivo.jar!/imagenes/loquesea.jpg
Firefox descargara un archivo jar y despues extrae el archivo lo quesea en la pc del cliente.
Ahora pondre un pedazo extraido de la pagina de shadowsecurity para que miren una explicacion de como este afecta a los usuarios de cuentas google.
El problema (y la vulnerabilidad) radica en que Firefox confÃÂa en que cualquier dirección que empiece por jar siempre llevará a un fichero comprimido jar, aunque su extensión o el Content-type de las cabeceras http hagan pensar lo contrario.
Por tanto, un atacante malicioso puede crear un fichero html conteniendo código Javascript, comprimirlo y renombrarlo como mi_avatar.jpg. El atacante va ahora a un foro y sube esa “imagen†como su avatar. Después, en un post incluye un enlace en la forma siguiente:
jar:http://foro_victima.com/imagenes/avatares/mi_avatar.jpg! mi_script_malicioso.htmlUn usuario de Firefox que cliquee sobre el enlace sufre la carga y ejecución del script malicioso, que se ejecuta además en el contexto de foro_victima.com
La otra forma posible de explotación consiste en utilizar un sitio -como Google- que permita redireccionar peticiones, de forma que el jar que incluye el script malicioso hereda el contexto de seguridad del sitio que redirige, incluso aunque el script esté alojado en el propio sitio del atacante. En este caso -como se ve- ni siquiera es necesario subir ficheros a ningún foro, aunque se sigue requiriendo que el usuario haga clic sobre el enlace malicioso y que permite la ejecución de scripts.
Espero que ahora se entienda mejor, pero si todavÃÂa quedan dudas os recomiendo la explicación de Sergio Maone (autor de NoScript) y un vistazo a este ejemplo sobre cómo utilizar la redirección de Google para phishing, un aviso que tiene más de un año, pero que no fue suficiente para que Google cerrara de una vez tan peligrosa puerta.
Visto Shadow Security y Seguinfo
No Comment Received
Leave A Reply