Firefox: Fallo en validación de propiedad '-moz-binding' permite ataques Cross Domain Scripting

Por marcelo-ar - 2 de Febrero, 2006, 1:27, Categoría: General

Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.

Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.

Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores

Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403

SecurityTracker Alert ID:  1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553

Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker