Nuevamente es noticia que una vulnerabilidad hace posible la existencia de un cibercrimen, pero en este caso se hace posible porque la persona entra a una página web insegura en busca de información, de ahí la inpormatancia de hacer una discriminación de los sitios que pudieran resultar sospechosos en las búsquedas que se realizan en la red de redes. En este caso la vulnerabilidad no tiene aún solución con un parche o con una actualización por lo que la cautela es la mejor arma para la prevención en ese caso.
La vulnerabilidad sólo requiere abrir un fichero .html malicioso con el navegador para tener acceso a los archivos del directorio.
Según ha demostrado Barak Tawily, un analista de seguridad que ya reportó una vulnerabilidad similar, la implementación de Same Origin Policy (SOP) de Firefox para el esquema «file://» permite listar y acceder a ficheros del mismo directorio y subdirectorios. Un atacante podría mediante un fichero .html descargado de Internet y abierto con Firefox acceder a todos los archivos donde se descargó el documento.
La vulnerabilidad, que todavía no ha sido parcheada y no se espera que se solucione de momento, se debería a que el RFC de ‘SOP’ para el esquema «file://» no deja claro cual debe ser el comportamiento en estos casos, por lo que cada navegador acaba haciendo su propia implementación del estándar.
En la prueba de concepto (PoC) realizada por Tawily y grabada en vídeo puede comprobarse cómo abriendo un fichero ‘.html’ descargado y abierto desde las descargas de Firefox sin que se muestre ningún aviso es posible acceder a ficheros sensibles del directorio sin que el usuario se dé cuenta.
El fallo en realidad no es nuevo, pues ya fue reportado en Netscape 6 y Mozilla en el 2002, reportándose en nuevas ocasiones con el mismo efecto.
De momento la única solución es no abrir ficheros ‘.htm’ o ‘.html’ de local utilizando Firefox. Una posible alternativa, y sólo si es estrictamente necesario, sería copiar el archivo a una carpeta vacía, y abrirlo desde dicha carpeta.
Más información:
https://quitten.github.io/Firefox/