Según informa Hispasec.com, las versiones de Mozilla no actualizadas son susceptibles a un ataque de
seguridad que permite que un “webmaster” malicioso sepa a qué URL accede el usuario cuando éste abandona su página web.
Mozilla es un entorno OpenSource de gran calidad. Su mayor exponente es el propio Mozilla, navegador en el que se fundamenta el Netscape 6.* y el reciente Netscape 7.0. Pero existen multitud de productos basados en Mozilla, como otros navegadores (Galeon), entornos IDE e, incluso, juegos.
Las versiones no actualizadas de Mozilla permiten que un “webmaster” malicioso pueda saber qué URL introduce el usuario cuando abandona su página web.
El problema radica en la carga de objetos (en particular, gráficos) desde código JavaScript. Cuando el usuario está viendo una página, e introduce una nueva URL para cambiar de web, los objetos que se carguen desde la primera página contendrán un campo “referer” apuntando a la
segunda página, aún no cargada.
El campo “referer” del protocolo HTTP permite que la petición de un objeto indique la URL del objeto que provoca su carga. Por ejemplo, cuando pulsamos un enlace, la página web nueva recibe como “referer” la URL de la página que contiene dicho enlace. Cuando cargamos una página web con gráficos, el “referer” de los gráficos será la URL de la página web en sí.
En este caso, el “referer” de los objetos cargados indicará que están siendo cargados desde la segunda página web, lo que no es el caso. Si existe código JavaScript que recarga una imagen (por ejemplo, un
“banner” publicitario) cada cierto tiempo, el “webmaster” puede saber a qué páginas salta el usuario tras ver su web.
El problema también puede reproducirse, incluso de forma más fiable, utilizando el método JavaScript “window.onunload()”, que se invoca cuando se abandona una página web. Un “webmaster” puede usar el siguiente código JavaScript, por ejemplo, en sus páginas web:
>>>>
< script >
function good_bye() {
var x = new Image();
x.src=”pixel.gif”;
}
window.onunload = good_bye;
< /script >
<<<<
Este problema afecta también a otros navegadores basados en Mozilla, como Galeon, Chimera o Netscape 6.* y 7.0.
El problema se solucionó el 17 de Septiembre de 2002. Cualquier “build” diario posterior a dicha fecha es inmune a este problema. También lo serán los futuros Mozilla 1.0.2, 1.1.1 y 1.2.
Si usas “build” diario, descarga una versión posterior al 17 de Septiembre. Si empleas un “release” oficial de Mozilla, a la espera de que se publiquen versiones nuevas, puedes eliminar el campo “referer” en tus peticiones HTTP, tal y como se detalla en una de las URLs que adjuntamos al final de este documento.
Es de señalar, no obstante, que una vez corregida esta vulnerabilidad, Mozilla es el único navegador sin ningún problema de seguridad conocido y no solucionado, todo un récord.
Para más información: Hispasec,
