Nadie se ha fijado en que estas "vulnerabilidades" sólo se producen al descargar el fichero y abrirlo en local, donde los permisos son mucho más relajados que en la zona internet ? Probad a abrir dichas urls en vez de guardar los ficheros, vereis que js marca un error de "Acceso denegado". Esto es parecido a decir que si bajas tal fichero .exe y lo ejecutas, le infecta con un virus... es obvio.
Vale que podrian ser aprovechadas para algunas cosas, como por ejemplo desde un cd autoejecutable o algo asi, pero de ahí a "vulnerabilidades críticas"... creo que el autor se ha pasado un poco de paranoia en este caso.
Creo que no habéis entendido. El archivo debe abrirse desde nuestro propio disco duro, luego de bajado. Imaginaros cualquier "readme" de cualquiera de esos programas. El problema es que consigue conectarse a un servidor remoto y mandar información. No es crítico, pero más o menos.
Lo he probado y ha funcionado perfectamente. La clave es que tenéis que bajaros ambos archivos al disco duro, de forma remota no funciona, pero eso es exactamente lo que dice el autor. Imaginaros un HTML de esos en alguna empresa con información crítica, es una especie de caballo de troya!
La fuente original lo cita correctamente, incluso dudando entre "bug" y "feature", la enlazada lo cita como:
"A través de Ajax nos lista los ficheros y carpetas de nuestro ordenador. Para que puedan ver esto funcionando en el vuestro propio, guardad este archivo"
Lo que implica, obviamente, una acción por nuestra parte, descargar al disco duro, y abrir. Como decia antes, poco más que si nos dijera "Bajaos este .exe y ejecutadlo". Si partimos de bajarnos el fichero primero y ejecutarlo manualmente, con VBScript se pueden hacer cosas muchisimo peores que esta.
Yo lo calificaría como problema leve, jamás como "importante agujero de seguridad". El alarmismo suele ser más problemático que la propia alarma.
MarcosBL: convengamos que un HTML es a la vista de todos un archivo inocente. El vbs es una extensión de script bastante conocida y todos nosotros sabemos que no debemos ejecutar un archivo que se llame readme.vbs. Sin embargo más de una vez hemos abierto un readme.html sin ninguna preocupación. Ahí es dónde reside el peligro; no es ni un vbs, ni un .exe ni un .com, es un html.
Comprendo perfectamente el problema y el código, pero no es nada nuevo, con javascript a secas puedes hacer lo mismo y pasar los datos a una url cargando simplemente un http://url/imagen.gif?datos=cadenaleida. Me refiero a que no es un "importante agujero de seguridad" como cita el titulo (citaba, veo que lo han editado), sino algo que el sentido común nos obliga: Si lo abres en local en tu pc, puede ser peligroso. Y si, el html deberia ser inocente... pero que me dices entonces de los jpg malformados ? O de un html que tiene un img src= imagen jpg malformada ?
es problema del html ?
del jpg ?
del sistema operativo que lo permite ?
Comentarios
El anuncio y el problema es erróneo.
¿Qué parte de "enlaza a la fuente original" fue la que no entendiste?
Error: Access to 'file://c:/' from script denied
Archivo de origen: http://zabbey.com/labs/firefox/explorer.html
Nadie se ha fijado en que estas "vulnerabilidades" sólo se producen al descargar el fichero y abrirlo en local, donde los permisos son mucho más relajados que en la zona internet ? Probad a abrir dichas urls en vez de guardar los ficheros, vereis que js marca un error de "Acceso denegado". Esto es parecido a decir que si bajas tal fichero .exe y lo ejecutas, le infecta con un virus... es obvio.
Vale que podrian ser aprovechadas para algunas cosas, como por ejemplo desde un cd autoejecutable o algo asi, pero de ahí a "vulnerabilidades críticas"... creo que el autor se ha pasado un poco de paranoia en este caso.
Creo que no habéis entendido. El archivo debe abrirse desde nuestro propio disco duro, luego de bajado. Imaginaros cualquier "readme" de cualquiera de esos programas. El problema es que consigue conectarse a un servidor remoto y mandar información. No es crítico, pero más o menos.
Lo he probado y ha funcionado perfectamente. La clave es que tenéis que bajaros ambos archivos al disco duro, de forma remota no funciona, pero eso es exactamente lo que dice el autor. Imaginaros un HTML de esos en alguna empresa con información crítica, es una especie de caballo de troya!
La fuente original lo cita correctamente, incluso dudando entre "bug" y "feature", la enlazada lo cita como:
"A través de Ajax nos lista los ficheros y carpetas de nuestro ordenador. Para que puedan ver esto funcionando en el vuestro propio, guardad este archivo"
Lo que implica, obviamente, una acción por nuestra parte, descargar al disco duro, y abrir. Como decia antes, poco más que si nos dijera "Bajaos este .exe y ejecutadlo". Si partimos de bajarnos el fichero primero y ejecutarlo manualmente, con VBScript se pueden hacer cosas muchisimo peores que esta.
Yo lo calificaría como problema leve, jamás como "importante agujero de seguridad". El alarmismo suele ser más problemático que la propia alarma.
MarcosBL: convengamos que un HTML es a la vista de todos un archivo inocente. El vbs es una extensión de script bastante conocida y todos nosotros sabemos que no debemos ejecutar un archivo que se llame readme.vbs. Sin embargo más de una vez hemos abierto un readme.html sin ninguna preocupación. Ahí es dónde reside el peligro; no es ni un vbs, ni un .exe ni un .com, es un html.
Comprendo perfectamente el problema y el código, pero no es nada nuevo, con javascript a secas puedes hacer lo mismo y pasar los datos a una url cargando simplemente un http://url/imagen.gif?datos=cadenaleida. Me refiero a que no es un "importante agujero de seguridad" como cita el titulo (citaba, veo que lo han editado), sino algo que el sentido común nos obliga: Si lo abres en local en tu pc, puede ser peligroso. Y si, el html deberia ser inocente... pero que me dices entonces de los jpg malformados ? O de un html que tiene un img src= imagen jpg malformada ?
es problema del html ?
del jpg ?
del sistema operativo que lo permite ?