El navegador web Mozilla Firefox no protege adecuadamente de ataques XSS en el código JavaScript privilegiado usado internamente por el mismo, principalmente en la interfaz gráfica propia.

En los navegadores web modernos, hay código JavaScript privilegiado corriendo. Por ejemplo, tanto en Google Chrome y Mozilla Firefox usan en la programación de sus interfaces de usuario JavaScript. Por privilegiado se refiere a código que tiene acceso a las páginas abiertas en el navegador, el sistema de archivos… Dentro del código privilegiado (algunos más restringidos que otros) hay distintos contextos de ejecución, y entre ellos uno de los más interesantes es por permitir introducir código externo es el de las extensiones del navegador.

Una vulnerabilidad de Mozilla Firefox en este caso, es la que se encuentra con no restringir la introducción de código JavaScript embebido en los documentos web que corren código privilegiado. Específicamente, en el código JavaScript especialmente privilegiado usado en la interfaz gráfica de Firefox al cual se le llama ‘chrome code’, (en la barra de estado, los menús… A toda esta parte se le llama Chrome).

Separación entre contexto de ejecución JavaScript privilegiado (Chrome, interfaz gráfica de Firefox) 
y no privilegiado (content, donde acostumbramos a que se ejecute JavaScript). 
Extraído de developer.mozilla.org.

 

La vulnerabilidad tras ser analizada superficialmente, no está claro de qué forma sería explotable (sólo si la interfaz gráfica ya tiene una vulnerabilidad XSS). Desde la compañía Cisco afirman que basta con convencer a un usuario para que abra un link o un archivo especialmente diseñado. Es especialmente vaga la descripción de la vulnerabilidad en cuanto a los términos de su explotación… Los investigadores del origen de esta noticia, tras contactar con el investigador original de la vulnerabilidad, Johann Hofmann, éste les confirmo que la descripción es intencionalmente vaga, debido a que algunos usuarios tardan en actualizar. Dicho esto, y viendo que desde Mozilla evalúan como crítica la vulnerabilidad, cualquiera se puede imaginar que los investigadores de Cisco quizás no se equivoquen…

El fallo ya está corregido con el parche a esta vulnerabilidad en la versión de Firefox 58.0.1. Según las declaraciones de Mozilla, lo ideal sería usar una de sus configuraciones más estrictas tales como CSP (políticas de seguridad respecto al contenido de los documentos web, configurables), para evitar JavaScript embebido en los documentos web que corren “chrome code”. Pero por desgracia en el código fuente de Firefox, tienen bastante de esto, y no es posible arreglarlo a corto plazo. De hecho, se conforman con sanear la creación de nuevas etiquetas HTML para que no contengan JavaScript embebido.

No es de extrañar y lo más probable que todo esto le haya sonado a chino. En cuanto a la ingeniería de software una de las piezas más complejas son los navegadores web modernos. Y cualquiera lo tiene gratis, al alcance de sus dedos.

Por la gravedad de la vulnerabilidad, si todavía no lo ha hecho se le recomienda a los usuarios del navegador web Mozilla Firefox de actualizar a la versión 58.0.1 que corrige este fallo.

Fuente: Segu Info

Anuncios