Se ha descubierto una vulnerabilidad en Mozilla Firefox, la cuál puede ser explotada por personas maliciosas a través de otro navegador.

El problema se produce porque Firefox registra el manejador "firefoxurl://", lo que permite invocar al navegador mediante una línea de comandos arbitraria.

Por ejemplo, utilizando el parámetro "-chrome", es posible la ejecución arbitraria de JavaScript en el contexto de los archivos chrome (los archivos chrome contienen todos los componentes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

Esto puede ser explotado para ejecutar otros comandos cuando el usuario visita un sitio web malicioso, utilizando el Internet Explorer.

La vulnerabilidad está confirmada en Firefox 2.0.0.4, en un Windows XP SP2 con todos los parches actualizados. Otras versiones también podrían ser afectadas.

En algunos foros de seguridad se ha desatado una controversia respecto a esta vulnerabilidad, ya que involucra aparentemente a los dos navegadores "rivales". Sin embargo, está claro que la característica que provoca el fallo, es insertada en el sistema por la instalación de Firefox.

Aún cuando Mozilla Firefox no sea utilizado como navegador principal, si alguna vez fue instalado en el sistema, es posible explotar esta vulnerabilidad.

Fuente

arag