• Tweet

Expertos en seguridad han advertido de una falla potencialmente seria en la manera que Firefox, el navegador de Mozilla, maneja JavaScript.

Dos investigadores independientes dieron a conocer la vulnerabilidad en una presentación el fin de semana en la conferencia de hackers ToorCon.

El par dijo que la vulnerabilidad podría permitir a los intrusos tomar control del sistema a través de una pagina especialmente elaborada.

Window Snyder, jefe de seguridad de Mozilla dijo en el comentario de un blog en el sitio de desarrollo de Mozilla que es posible forzar que el navegador termine su ejecución usando la vulnerabilidad.

Snyder no confirmo que la falla podría ser explotada para permitir ejecución remota de código.

La vulnerabilidad afecta el componente de Firefox 'chrome context', de acuerdo con Eric Sites, vicepresidente de investigación y desarrollo en el distribuidor de software de seguridad Sunbelt.

"Chrome context proporciona cierto código confiable como JavaScript con acceso completo a los recursos de Firefox", dijo Sites a vnunet.com.

"Si un script consigue entrar a chrome context, es como si copiaras ese script en tu computadora y lo ejecutaras sin ninguna restricción".

Aunque no hay exploits conocidos de esa vulnerabilidad, Sites advirtió que la falla podría ser incluida en un kit de herramientas de ataque para sitios Web, el cual proporcionaría a los escritores de malware de una herramienta automatizada para crear nuevos gusanos y virus.

"Ya hemos visto antes exploits JavaScript (WebAttacker) hechos para Firefox, así que estoy seguro que estos tipos pondrán estos scripts y sus implementaciones en WebAttackers bastante rápido", dijo el.

Sites compara el impacto de la vulnerabilidad de Firefox con los exploits de día zero de Activex, que explotaron a Internet Explorer de Microsoft la semana pasada.

En dos incidentes separados, los intrusos usaron una vulnerabilidad no parchada en Explorer para ejecutar código arbitrario. Microsoft liberó un parche para las fallas VML la semana pasada, pero la falla ActiveX sigue sin parchar.

El modelo de código abierto de Firefox le permite a su comunidad de desarrollo crear rápidamente un parche una vez que la solución haya sido encontrada, pero Sites advierte que la vulnerabilidad aun es "bastante peligrosa¨ para los usuarios.

Una cosa que Mozilla tiene que empezar a hacer es una herramienta interesante que permita enviar actualizaciones rápidamente", dijo.