Solución al exploit IDN en Mozilla y Firefox

Martes, 08 de febrero de 2005

Solución al exploit IDN en Mozilla y Firefox

En la bitácora Zootropo mencionaban este fallo que afecta a todos los navegadores modernos (IE por supuesto excluido) que impelementan el estándar IDN, desde los Gecko (Mozilla, Firefox y derivados) hasta Safari y Konqueror (compobado).

Aquí está la dirección del exploit si funciona os saldrá la onomatopeya "Meoow"

Hay un apaño rápido y relatívamente fácil para Firefox en Tech.Life.blogged, cuya adaptación para Linux sería:

1) Buscar los archivos compreg.dat y abrir con un editor.
La ruta es:

~/.mozilla/firefox/XXXXXXXX.default/compreg.dat

2) Buscar la línea cadena:

idn-service;1

3) Cambiar el 1 por 0

idn-service,0

4) Cerrar y probar en la dirección del exploit, si todo ha ido bien os debería salir un aviso de que la página no se encuentra.

Desgraciadamente no he conseguido encontrar el equivalente a compreg.dat en Mozilla ni en Konqueror. Konqueror sin embargo se queja
de que la página SSL intenta usar un certificado que no coincide con la URL de la página.

Por: Enric Martínez | General | Comentarios (2) | Referencias (0)

Comentarios

Pues siento decirte que no funciona.
Ni poniendo a 0 , ni poniendo a false.
Cambiandolo en about:config funciona hasta que reinicias el navegador

Grohl | 09-02-2005 10:41:29

A mí me funciona perfectamente, me da un error 'page not found' y no conecta. El hack permanece activo au reiniciando (Firefox 1.0).

Hablo de reeditar el compreg.dat;
ayer lo probé y funcionaba y lo acabo de confirmar ahora mismo tras leer tu post. Va perfectamente.

Adiccionalmente he cambiado la variable network.enableIDN desde el about.config por si las moscas.

Esto en Mozilla lo único que hace es darte un error de certificado SSL al conectar al https, en la página sin cifrar entra como si tal cosa.

Habrá que hacer un grep para encontrat la dichosa variable...

runlevel0 | 09-02-2005 13:55:34