Mozilla pagou R$ 10.000,00 a um pesquisador por descobrir uma vulnerabilidade de cross-site scripting (XSS) armazenado que afeta o website de add-ons da empresa.
Ashar Javed, um profissional que faz teste de intrusão na Hyundai AutoEver Europa, identificou um total de três vulnerabilidades XSS nos sites da Mozilla.
O mais grave dos problemas é a vulnerabilidade XSS armazenado encontrada no site de add-ons site da Mozilla, mais precisamente no recurso de coleções, que é projetado para permitir que os usuários criem grupos de compartilhamento de add-ons semelhantes.
Quando os usuários criam uma coleção, eles têm de incluir um nome, uma descrição e especificar o add-ons que fará parte da coleção. O especialista descobriu que o campo “nome” permitia um XSS armazenado que poderia explorar a execução arbitrária de código JavaScript. A falha existiu porque o site da Mozilla não filtrava adequadamente o caractere “<“, permitindo que atacantes construissem o código: </ title> <svg / onload = confirm (document.domain) //.
De acordo com Javed, um invasor poderia ter explorado a vulnerabilidade para hospedar malware ou para outros fins mal-intencionados simplesmente enganando a vítima a acessar a URL de uma coleção maliciosa.
“Dado que a Mozilla add-on site tem milhões de downloads, é facilmente possível para o atacante convencer a vítima a visitar a página de coleção”, disse o especialista.
Uma maneira de fazer com que os usuários acionem o código malicioso seria postar comentários nas páginas de add-ons populares com links para coleções do atacante, disse Javed.
O pesquisador reportou a vulnerabilidade à Mozilla em 26 de dezembro e uma correção foi implementada no dia 7 de janeiro. A organização premiou o pesquisador com R$ 10.000,00 pela falha, que ele afirma ter encontrado dentro de minutos.
As outras duas falhas XSS encontrados por Javed em sites da Mozilla, foram classificadas como de baixo risco e ainda não foram corrigidos. A Mozilla está atualmente trabalhando para corrigí-las.
Esta não foi a primeira vez Javed recebeu uma recompensa significativa para uma vulnerabilidade de XSS. Em outubro, o especialista disse que o Google lhe concedeu R$ 12.000,00 por um XSS refletido na principal barra de pesquisa do site do YouTube Gaming.