Michal Zalewski se dio a conocer durante 2006 por su trabajo a la hora de poner a prueba la seguridad de los distintos navegadores. Ha descubierto varias vulnerabilidades tanto en Internet Explorer como Firefox, dedicándose con especial hincapié en desafiar a este último navegador, al que ha sabido buscarle las cosquillas. Entre otros fallos, los torpedos de Zalewski (una serie de exploits que provocaban que el navegador dejase de responder) han podido con el código de Firefox en varias ocasiones incluso después de crear actualizaciones.
En esta última semana (poco después de que se hicieran públicas otras vulnerabilidades en Firefox), Zalewski ha vuelto a anunciar varios errores de diseño que considera constituyen serios problemas de seguridad.
El primer problema se basa en la forma en la que Firefox maneja la escritura en la propiedad DOM location.hostname. Esto permite crear un script que modificaría su valor con datos que serían normalmente aceptados como nombres de host válidos cuando se interpreta una URL. Se pone como ejemplo un ataque basado en la cadena \x00. El resolvedor DNS y otras partes del código lo interpretan como el final de una cadena mientras que las cadenas de las variables DOM no. Según el ejemplo del propio Zalewski, evil.com\x00foo.example.com sería considerado por el código como parte del dominio example.com mientras que las peticiones irían a parar a evil.com y éste sería capaz de modificar las cookies de la página legítima. Parece que ya existe parche para este fallo pero aún no se ha hecho público.
Existe otro problema relativamente de menor consideración, pero que según el propio Zalewski merece la pena hacer notar. Se trata de un fallo de diseño por el que un script podría abrir la URL about:blank en una nueva pestaña. Esto permitiría al script interactuar con este documento como si se tratase de una página en el mismo dominio, lo que incluye inyección HTLM. Según Zalewski esto sería perfecto para perpetrar ataques phishing. Este fallo permite a un atacante eludir también una solución a un error anterior que se pensaba totalmente corregido. El problema también afecta a Microsoft Internet Explorer 7, pero sólo si la opción «Permitir a páginas abrir ventanas sin barras de estado o dirección» está marcada. Para facilitar todavía más las cosas a los phishers, a principios de febrero se descubrió un problema en Firefox que permitía a una página fraudulenta eludir el control antiphishing del programa con sólo añadir una barra «/» al final de la URL.
Zalewski se queja además de otro «terrible» error de diseño que comparten estos navegadores y del que se tiene constancia desde 2004. Las notificaciones de seguridad que aparecen en la parte superior de las ventanas pueden ser trivialmente falsificadas porque se sitúan en una zona accesible por scripts. Este error todavía está ahí.
Parece que Zalewski se podría erigir como un «nuevo» Guninski. Georgi Guninski, desde finales de los 90 hasta bien entrada la nueva década, descubrió decenas de errores de seguridad en el navegador Internet Explorer (su «especialidad») y otros muchos programas.
Así la situación, hasta que los errores queden corregidos, se recomienda utilizar extensiones como NoScript o hacer uso de las zonas de seguridad de Internet Explorer.
Más información:
Firefox Phishing Protection Bypass Vulnerability
http://www.securiteam.com/securitynews/5MP0320KKK.html
Firefox Popup Blocker Allows Reading Arbitrary Local Files
http://www.securiteam.com/securitynews/5JP051FKKE.html
Firefox + popup blocker + XMLHttpRequest + srand() = oops
http://archives.neohapsis.com/archives/fulldisclosure/2007-02/0103.html
Firefox: serious cookie stealing / same-domain bypass vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052447.html
Firefox focus stealing vulnerability (possibly other browsers)
http://lists.grok.org.uk/pipermail/full-disclosure/2007-February/052333.html
Firefox: about:blank is phisher’s best friend
http://seclists.org/bugtraq/2007/Feb/0323.html