Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.
Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.
Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores
Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403
SecurityTracker Alert ID: 1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553
Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253
