Zero Day Exploit para IE + Firefox

Zero Day Exploit para IE + Firefox

por

Juntos son dinamita

Se ha descubierto una vulnerabilidad que podría atacar a cualquier PC que tuviera instalados IE y Firefox 2.

Básicamente, algunos sitios web manejan el URI “firefoxurl://” para interactuar con algunos contenidos. Pues bien, teniendo instalado Firefox 2, pero navegando con Explorer, al pinchar un link que comience con “firefoxurl://” el Explorer pasará todos los parámetros en forma transparente a la linea de comando.

El exploit no puede ejecutarse si acaso no se está navegando con IE o si no está Firefox 2 instalado en el sistema, pero esta vez la culpa es compartida: Explorer debiera filtrar la inclusión de comandos en la cadena de un URI, y Firefox pudo haber usado Dynamic Data Exchange para su protocolo “firefoxurl://”, con lo cual no hubiera sido posible meterle comandos arbitrarios.

Fuente: News.com