El pasado día 8 de febrero se publicaba la nueva actualización del popular navegador Firefox. La versión 2.0.0.12 de Firefox corregía (entre otras) una vulnerabilidad descubierta por Hispasec. En ese momento no se dieron detalles sobre el fallo, por petición expresa de algunos desarrolladores de otros navegadores afectados.
El problema afectaba a FireFox 2.0.0.11, Opera 9.50 y otros navegadores. El fallo permite revelar información sensible del usuario por parte de un atacante que crease una página web especialmente manipulada. También, bajo ciertas circunstancias, podría permitir provocar una denegación de servicio.
El problema se basa en un manejo incorrecto de ficheros en formato BMP con paleta de colores parcial. El código vulnerable permite que, al manejar un fichero BMP especialmente manipulado, se filtre información al heap, y estos datos pueden ser enviados a un servidor remoto con ayuda de la etiqueta canvas de HTML y JavaScript.
En realidad, el problema afecta a otros navegadores también, pero el impacto es distinto. Al no soportar completamente el uso de etiquetas canvas, el envío de datos no puede ser llevado a cabo. Sin embargo, el manejo de ficheros BMP sigue siendo erróneo en ellos. Internet Explorer no es vulnerable en ningún sentido. Safari por ejemplo, tiene problemas similares además con el formato GIF.
El problema en concreto se da en el campo biClrUsed de las cabeceras de un fichero BMP. Los navegadores reservan la cantidad justa de memoria en ese campo, o no lo ponen todo a cero a la hora de usarlo.
Con este método se puede conseguir todo tipo de información sensible del navegador: Cookies, la historia, favoritos… Existe prueba de concepto que será publicada más adelante. En el apartado de más información, se proporciona un enlace al Laboratorio donde se ha colgado un vídeo demostrativo.
ssantos@hispasec.com
Más información:
La versión 2.0.0.12 de Firefox corregía (entre otras) una vulnerabilidad descubierta por Hispasec
http://www.hispasec.com/unaaldia/3394/version-firefox-corrige-entre-otras-una-vuln
Video demostración:
http://blog.hispasec.com/lab/
Deja una respuesta