Hoy, 4-12-2012, los desarrolladores de RoundCube han cerrado y dado por resuelto un ticket que abrí ayer mismo y en el que les comunicaba dos nuevas vulnerabilidades de tipo XSS.
Los detalles figuran en el ticket
http://trac.roundcube.net/ticket/1488850
Y, sobre todo, en el fichero adjunto al mismo, que contiene una prueba de concepto:
http://trac.roundcube.net/attachment/ticket/1488850/RoundCube2XSS.pdf
Básicamente, para potenciales víctimas que utilicen Internet Explorer, es posible ejecutar scripts en el contexto de la sesión actual de webmail mediante el uso de enlaces a URLs de tipo "vbscript:".
En el caso de Mozilla Firefox, un resultado similar puede obtenerse mediante URLs de tipo "data:". Este tipo de URLs permiten embeber en un documento HTML contenidos que de otro modo tendrían que ser obtenidos de fuentes externas como, por ejemplo, imágenes.
Para más detalles sobre las URL "data:" se puede leer el siguiente RFC:
http://www.ietf.org/rfc/rfc2397.txt
Mediante el uso de las mismas, es posible crear de forma dinámica, y seguidamente abrir, un documento HTML con código JavaScript al seguir un enlace creado y diseñado para este fin.
Es de esperar que las próximas versiones de RoundCube no presenten ya estos problemas. Pero siempre habrá instalaciones que se queden sin actualizar. Y es más que probable que otras aplicaciones de webmail tengan fallos similares. Así que si administras un correo web, quizá sea conveniente que realices comprobaciones al respecto...
