• +(57 1) 745-7312
  • contacto@openitnet.com

NOTICIAS

Páginas en local permiten el robo de ficheros en Firefox desde hace 17 años

La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.

Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.

La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.

En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.

El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.

De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.


Fuente: Hispasec.com

6. Gestión de Listas de Correo

2019-06-17 Hits:17

Una excelente forma de mantenerse en contacto con los clientes y prospectos sobre novedades, lanzamientos, eventos y noticias de nuestra empresa es mediante la gestión de listas de correo. Como en el caso del servidor de correo, existen muchas opciones...

Leer Más...

5. Servidor Web.

2019-03-07 Hits:118

¡Muy bien! Ya tenemos nuestro flamante nuevo sitio web al aire, y todos nuestros clientes nos felicitan por lo lindo y moderno que quedó. Pero ahora viene lo interesante… ¿Como hacemos para mantenerlo actualizado y que nuestros visitantes se mantengan...

Leer Más...

4. Gestión Documental

2019-01-24 Hits:251

Se escucha la siguiente frase a todo pulmón en la oficina: ¿quién tiene la versión actualizada de la lista de precios?...

Leer Más...

Junto a fabricantes de chips estadounidenses como @Intel y @Qualcomm, @Google se ha visto obligada a cumplir la pro… https://t.co/o7O35vLZhr

El pasado fin de semana, Mozilla Firefox se vio afectado por un certificado expirado, lo que ocasionó que muchos us… https://t.co/XgcvVPwgke

Calendario

« July 2019 »
Mon Tue Wed Thu Fri Sat Sun
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30 31        

Somos una empresa de soluciones en consultoría informática, especializada en instalación de aplicaciones corporativas y administración de infraestructura tecnológica, con énfasis en pequeñas y medianas empresas (Pymes).

INFORMACIÓN

Calle 67 # 8-16 Of. 304 Bogotá, Colombia

+(57 1) 745-7312

This email address is being protected from spambots. You need JavaScript enabled to view it.

Tweets

Junto a fabricantes de chips estadounidenses como @Intel y @Qualcomm, @Google se ha visto obligada a cumplir la pro… https://t.co/o7O35vLZhr

El pasado fin de semana, Mozilla Firefox se vio afectado por un certificado expirado, lo que ocasionó que muchos us… https://t.co/XgcvVPwgke

Search