Fecha artículo: 2005-06-19 22:33:28 - url artículo: http://seguridad.internautas.org/html/464.html
Firefox 1.0.4 vulnerable a una variante del “JavaScript Ghost bug”.
Ayer mismo podíamos leer la noticia de la nueva vulnerabilidad llamada “JavaScript Ghost bug” mediante la cual es posible ocultar el código fuente de una web, gracias a lo cual un atacante podría crear código javascript malicioso y ocultar el código fuente, saltándose así muchas de las medidas que los programas de seguridad/antivirus tienen integradas para protegernos cuando navegamos por internet, otras aplicaciones peligrosas pueden venir de sitios de descarga de spyware, estafas phising, o puede ser utilizado junto con ataques Cross Site Scripting para engañar a la víctima.
Según el aviso original el Internet Explorer 6 (SP2) y el Opera 7.54/8.0 son vulnerables a esta vulnerabilidad. Después de realizar algunas pruebas hemos comprobado que el navegador Firefox (v1.0.4) se ve afectado por una variante de esta vulnerabilidad. El código modificado para ser explotado en el Firefox sería este:
>script type="text/javascript"<
function init() {
document.write(">h1/h1<");
}
setTimeout("init()",1);
>/script<
Este código mostrará la palabra "CyruxNET" :) pero al mirar el código fuente, éste aparece en blanco.
El problema se ha comunicado en la lista de bugs de Firefox, por ahora no hay solución para esta vulnerabilidad.
Origen: CyruxNET
Nota; Los simbolos <> fueron modificados por ><
