¿Has visto alguna vez una demostración en vivo de una de esas vulnerabilidades críticas que publica Firefox? ¿Es posible ejecutar un programa (es decir, el Bloc de notas) o descargar/instalar uno nuevo, sin la intervención del usuario, simplemente visitando una URL? Eso es lo que asegura Mozilla en los avisos de seguridad. https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/ Pedí ayuda en otros sitios e incluso ofrecí una recompensa, pero no tuve tanta suerte. Tenga en cuenta que no estoy hablando de un nuevo exploit inédito, sólo quiero ver uno de esos errores que son públicos. Ni siquiera necesito ver el código fuente, sólo una demostración en vivo. La última demostración de ese tipo que vi fue en el año 2000, afectando a IE 5.http://www.guninski.com/chmtemp-desc.html
Respuesta1
No, no es un mito. Explotar base de datoses el mejor lugar para encontrar ataques de prueba de concepto para vulnerabilidades divulgadas públicamente. Obviamente, no todas las vulnerabilidades se publican allí, pero muchas sí lo hacen; la última que estoy viendo en Firefox esdesde abril del año pasado.
Otra buena fuente de... ¿pruebas?... de vulnerabilidades en los principales navegadores es la competencia Pwn2Own; que el año pasado utilizó 4 ataques diferentes de día cero contra Firefox.