Internet Explorer CSS 0day on Windows 7

Vídeo, publicado en Offensive Security, mostrando la ejecución código local a través de un ataque CSS contra Internet Explorer (IE) en un Windows 7 completamente actualizado.
En este ejemplo ejecutan la calculadora.




:: Fuente:  Offensive-Security - IE css 0day on Windows 7

:: Vulnerability in Internet Explorer Could Allow Remote Code Execution: Microsoft Security Advisory (2488013)

Vulnerabilidad en Mozilla Firefox 2.0.0.12

Parece ser que al poco de haber salido la nueva versión de Firefox que solucionaba algunos problemas, tanto de rendimiendo como de seguridad, con la versión 2.0.0.12 de Mozilla Firefox... ya han encontrado una vulnerabilidad sería.

Esta vulnerabilidad de seguridad permite usar el esquema 'view-source:' del navegador Firefox, permitiendo examinar el esquema 'resource:', con el que, a traves del DCOM, se puede ver los ficheros de la carpeta donde se encuentra instalado el navegador, en Windows suele ser "C:\Archivos de programa\Mozilla\Firefox\".

Para explotar esta vulnerabilidad sólo se necesita un script java que en otras webs han escrito como el siguiente:



Para no verse afectado por ello, y hasta que salga la nueva versión Firefox 2.0.0.13, es recomendable usar el plugin para Firefox llamado NoScript, que puedes instalartelo directamente desde su web http://noscript.net

:: Fuente: Hacker Webzine