.:LugSaJu:.

Viernes, 09 de diciembre de 2005

Firefox 1.5: tocado y hundido

Se abrió la veda del "panda rojo". Pocos días después de su presentación, un certero ataque ha provocado el primer tropezón serio de nuestro navegador favorito.
El ataque consiste en insertar en una página web un sencillito javascript que provoca un crecimiento desmesurado del fichero history.dat (el archivo donde Firefox guarda el historial de páginas visitadas). Al volver a arrancar Firefox observaremos con sorpresa que se queda colgado. La situación se repetirá cada vez que tratemos de arrancar Firefox sin borrar el fichero afectado

Ayer se publicó un "exploit" que permite ejecutar con éxito ataques DoS contra Firefox 1.5 mediante un simple código Javascript.

Este código provoca que el archivo history.dat, en el que se almacena, como su nombre sugiere, el historial de las distintas webs visitadas con el navegador, crezca de forma desorbitada.

En concreto el script no hace más que establecer para document.title (el título del documento) una cadena de texto de tamaño desproporcionado.

Todos los intentos de volver a iniciar Firefox con este history.dat dañado fallarán hasta que se inicie el navegador con un nuevo perfil o bien se borre el archivo de historial.

Existen distintas soluciones temporales:

* Deshabilitar el historial: Herramientas -> Opciones -> Privacidad -> Historial, e introducimos '0′ como valor para "Recordar páginas vistas en los últimos n días".
* Deshabilitar la ejecución de código Javascript: Herramientas -> Opciones -> Contenido, y desmarcamos la casilla "Activar JavaScript".
* Impedir que los scripts puedan modificar el título de los documentos, añadiendo una nueva clave en about:config con nombre "capability.policy.default.HTMLDocument.title.set" y valor "noAccess"

Fuente: MundoGeek

Por: Ernesto Gremoliche | internet-firefox | Comentarios (2) | Referencias (0)