Se han publicado tres vulnerabilidades en productos Mozilla relacionadas con el objeto ‘Location‘ que podrían permitir a un atacante remoto realizar ataques Cross-Site Scripting o evadir restricciones de seguridad. Afectan a al navegador Firefox, al gestor de correo Thunderbird y la suite SeaMonkey.
Mozilla ha publicado un boletín de seguridad de carácter crítico alertando de tres vulnerabilidades en sus productos estrellas Firefox, Thunderbird y SeaMonkey.
La primera de ellasha sido descubierta por Mariusz Mlynski e identificada como CVE-2012-4194. Se trata de un error a la hora de proteger el valor del objeto ‘window.location‘ que podría ser simulado mediante el método ‘valueOf‘ y utilizarse para realizar ataques Cross-Site Scripting (XSS) de forma remota. Thunderbird solo se vería afectado a través de RSS y complementos que carguen contenido web.
La vulnerabilidad con CVE-2012-4195 ha sido descubierta por ‘moz_bug_r_a4‘ y se basa en un error en la función ‘CheckURL‘ en ‘window.location‘ al no determinar correctamente el documento llamado en los valores de retorno. Esto podría ser aprovechado para realizar ataques XSS y ejecutar código HTML y Javascript arbitrario en el navegador de un usuario.
Por último, Antoine Delignat-Lavaud del equipo de investigación Prosecco descubrió cómo eludir las protecciones de seguridad ‘Same Origin‘ y acceder al objeto ‘Location‘ usando un ataque de inyección de propiedades. A esta vulnerabilidad se le ha asignado el identificador CVE-2012-4196.
Estos errores han sido corregidos en las versiones 16.0.2 de Firefox y Thunderbird, y en SeaMonkey 2.13.2. Es posible descargar estas versiones desde la página oficial y el FTP de Mozilla.
Más información:
Mozilla Foundation Security Advisory 2012-90 – Fixes for Location
object issues
Location can be spoofed using valueOf
nsLocation::CheckURL can use the wrong principal
More cross origin location access problems
Juan José Ruiz
