Acaba de ser descubierta una grave vulnerabilidad en la versión estable de Firefox que puede ser empleada para desvelar las contraseñas de sus usuarios.
La vulnerabilidad posibilita la aparición de un nuevo tipo de ataque, que sus descubridores han bautizado como vulnerabilidad RCSR (Reverse Cross-Site Request).
El ataque RCSR también funciona sobre Internet Explorer, aunque la vulnerabilidad descubierta en Firefox, hace a estos usuarios especialmente vulnerables.
La vulnerabilidad es bastante grave dado que puede afectar a cualquier visitante de weblog o foro que permita a sus usuarios incluir código HTML en sus mensajes.
Es por ello que sus descubridores recomiendan la especial atención de webmasters y administradores de foros, con los códigos HTML que permiten en sus mensajes.
Desde la Fundación Mozilla ya han anunciado que la vulnerabilidad estará resuelta en la próxima versión de Firefox, la 2.0.1 o 2.0.2.
Hasta que no salga la nueva versión se recomienda desactivar el gestor de contraseñas.
A continuación un enlace al artículo original y una prueba de concepto de la vulnerabilidad.
1 comentario:
Publicar un comentario