Foros ZackYFileS - Vulnerabilidad en múltiples navegadores permite acceso a archivos remotos

FrSIRT ha anunciado una vulnerabilidad que afecta a los principales navegadores, y que podría ser explotada por atacantes remotos para conseguir acceso no autorizado a archivos arbitrarios.

El fallo reside en un error de diseño donde los eventos de pulsación de teclas son cancelables a través de código JavaScript, lo que puede ser aprovechado por atacantes remotos para hacer que los usuarios suban archivos arbitrarios desde un sistema vulnerable a un sitio malicioso. Para ello será necesario convencer al usuario atacado para que visite una página web maliciosamente creada y que realice determinadas acciones (como escribir un determinado texto en un campo de texto), lo que provoca que un archivo arbitrario sea subido de forma automática.

Al contrario de lo habitual, este problema no se restringe a un solo navegador, sino que se ven afectados Mozilla Firefox 1.5.0.4 y versiones anteriores, Mozilla SeaMonkey 1.0.2 y anteriores, Netscape 8.1 y anteriores, Mozilla Suite 1.7.13 y anteriores, Internet Explorer 6 y 5.01. Además se ha confirmado la publicación de un exploit de demostración como prueba de concepto del problema.