Boletines de Vulnerabilidades |
Revelación de información sensible en Firefox, Mozilla, Netscape, SeaMonkey y Microsoft Internet Explorer |
|
Clasificación de la vulnerabilidad |
|
Propiedad | Valor |
Nivel de Confianza | Probado |
Impacto | Aumento de la visibilidad |
Dificultad | Avanzado |
Requerimientos del atacante | Acceso remoto sin cuenta a un servicio exotico |
Información sobre el sistema |
|
Propiedad | Valor |
Fabricante afectado | GNU/Linux |
Software afectado |
Firefox <= 1.5.0.4 Mozilla <= 1.7.13 Netscape 8.x SeaMonkey 1.x Microsoft Internet Explorer 6.x |
Descripción |
|
Se ha descubierto una vulnerabilidad en Firefox, Mozilla, Netscape, SeaMonkey y Microsoft Internet Explorer. La vulnerabilidad reside en que un script puede cancelar eventos del tipo "keystroke" (pulsaciones de teclado) cuando se inserta texto. Un atacante remoto podría obtener un fichero arbitrario del sistema del usuario victima mediante el engaño del usuario a que teclee un nombre de fichero en un campo para subir ficheros y cancelar ciertos eventos JavaScript en ciertos caracteres. |
|
Solución |
|
Actualmente no existe ningún parche disponible. | |
Identificadores estándar |
|
Propiedad | Valor |
CVE | |
BID | |
Recursos adicionales |
|
[Full-disclosure] file upload widgets in IE and Firefox have issues http://lists.grok.org.uk/pipermail/full-disclosure/2006-June/046610.html Secunia Advisory (SA20442) http://secunia.com/advisories/20442/ |
Histórico de versiones |
||
Versión | Comentario | Fecha |
1.0 | Aviso emitido | 2006-06-06 |