miércoles, 10 de marzo de 1999

Nuevo bug en Netscape Communicator

Un nuevo fallo de programación en todas las versiones de Netscape
Communicator 4.x puede permitir leer ficheros html locales,
consultar la caché y otros muchos problemas aun sin confirmar.
Georgi Guninski ha descubierto un nuevo agujero de seguridad en
Netscape. Hace menos de 15 días nos hacíamos eco del último
agujero que este prolífico investigador había encontrado en el
Communicator, cuando de nuevo vuelve a ocupar la actualidad de
nuestro servicio de noticias por motivos similares.

El nuevo agujero lleva consigo muchas implicaciones, como la
lectura de ficheros html locales (consultándolos en la forma en
que el usuario los ve, no el código fuente). De la misma forma,
pueden leerse ficheros html en un servidor web bloqueado por un
firewall (si el navegador y el servidor web se encuentran en la
misma cara del firewall). El bug también permite acceder a los
contenidos de la caché del usuario, e incluso permite la
navegación y la consulta de los directorios del disco duro del
usuario, así como otros efectos que el propio Guninski no
termina de confirmar.

El fallo hace uso de la función find() de JavaScript, junto con
el tag ILAYER, lo que hace que también pueda desarrollarse a
través de un mensaje e-mail. Netscape ya ha anunciado que está
trabajando en un parche para remediar este problema, aunque como
solución temporal se recomienda deshabilitar el lenguaje
JavaScript.

Más información:
http://www.nat.bg/~joro/nsfind.html


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada