Múltiples vulnerabilidades críticas en productos Mozilla
Fuente: http://www.hispasec.com/unaaldia/2526
Durante los últimos días han aparecido importantes problemas de seguridad en diversos productos desarrollados bajo el auspicio de
Mozilla Foundation.
Los productos sobre los que se han emitido alertas son Mozilla Firefox, el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla Suite, la suite de comunicaciones personal. Casi todos los problemas son parecidos y debidos a causas idénticas, ya que los productos citados comparten funcionalidad al emanar de código fuente muy parecido, idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de fallos anteriores, que no fueron convenientemente abstraídos al problema raíz.
El compendio de problemáticas y el estado actual de las mismas es el siguiente:
Mozilla Thunderbird
Un grave problema de seguridad podría comprometer seriamente los equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente
se da el problema en entornos UNIX o derivados. Los usuarios de Microsoft Windows pueden respirar tranquilos, si bien se prevé una
inminente actualización para el cliente de correo y noticias, que debería ser aprovechada para sincronizar versiones, independientemente de la
plataforma que se emplee.
El problema radica en que el script de shell empleado para lanzar Mozilla Thunderbird podría facilitar la ejecución de comandos
arbitrarios, ya que es factible construir una URL maliciosa que contenga comandos adicionales externos, contenidos entre barras invertidas, que
son parseados y ejecutados sin más comprobaciones. En sistemas donde el gestor de correo por defecto sea Thunderbird, un atacante podría
suministrar a la víctima enlaces maliciosos, que al ser pulsados, invocarían al cliente de correo. Si a esa URL se le añaden comandos
arbitrarios, éstos serían irremediablemente ejecutados.
Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la
aplicación hasta la aparición de la versión que corrija el problema.
Mozilla Firefox
Se ha liberado recientemente la versión 1.0.7 que corrige dos importantes fallos de seguridad, entre los que está la posibilidad
análoga a la descrita para Thunderbird, consistente en la factibilidad de ejecutar comandos arbitrarios lanzando las aplicaciones desde la
shell. Un ejemplo de secuencia en la shell sería el siguiente:
sergio@hispasec:~$ firefox http://local\`find\`host (ejecución con éxito del comando "find")
Otro problema resuelto es la conocida vulnerabilidad que provoca el colapso del navegador cuando se tratan URLs con el carácter 0xAD en su
nombre de dominio 0xAD. También hay una corrección para scripts PAC (Proxy Auto-Config) que induciría al colapso de la aplicación.
Éstos problemas quedan resueltos con la versión de actualización 1.0.7, y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y
anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental Firefox 1.5 Beta 1 (Deer Park Alpha 2)
De todos modos, hay que estar atento a ciertos problemas, recientemente revisados, y que teóricamente se fueron corrigiendo en las versiones
1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener efectos colaterales al no estar resueltos. Éstos problemas, recordemos,
son cuatro, y están siendo revisados o actualizados documentalmente:
Un error en el procesamiento de imágenes XBM podría ser empleado para causar un desbordamiento de búfer a la hora de que el navegador gestione
una imagen especialmente preparada a tales efectos. La explotación exitosa de éste problema podría permitir la ejecución de código
arbitrario.
Otro error ha sido documentado, en este caso en el procesado de secuencias Unicode con atributo "zero-width non-joiner", que podrían
corromper la pila y ocasionar el colapso de la aplicación.
El tercer problema de reciente aparición es un error en el procesado de cabeceras a través de "XMLHttpRequest", que podría ser aprovechada por
usuarios maliciosos para inyectar peticiones no legítimas vía HTTP.
El cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM a través de un control XBL.
Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y permanecer atentos a versiones posteriores, que podrían ser igualmente
inminentes. Debido a las interrelaciones y el carácter de las vulnerabilidades, la recomendación de actualización es general,
independientemente de si se usa Windows o derivados de UNIX como plataforma.
Mozilla Suite
Todos los usuarios deben actualizar a la versión 1.7.12, que corrige diversos problemas de seguridad, de carácter crítico, que podrían
facilitar, de un modo remoto, el salto de restricciones de seguridad, la manipulación de datos y eventualmente, ganar acceso al sistema.
Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12 Opina sobre esta noticia: http://www.hispasec.com/unaaldia/2526/comentar
Más Información:
Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow Vulnerability:
http://www.securityfocus.com/bid/14784
Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability:
http://www.securityfocus.com/bid/14888
Mozilla Suite, Firefox And Thunderbird Multiple Vulnerabilities:
http://www.securityfocus.com/bid/14242
Multiple Browser Weak Authentication Mechanism Vulnerability:
http://www.securityfocus.com/bid/14325
Sergio Hernando
[email protected]
Durante los últimos días han aparecido importantes problemas de seguridad en diversos productos desarrollados bajo el auspicio de
Mozilla Foundation.
Los productos sobre los que se han emitido alertas son Mozilla Firefox, el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla Suite, la suite de comunicaciones personal. Casi todos los problemas son parecidos y debidos a causas idénticas, ya que los productos citados comparten funcionalidad al emanar de código fuente muy parecido, idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de fallos anteriores, que no fueron convenientemente abstraídos al problema raíz.
El compendio de problemáticas y el estado actual de las mismas es el siguiente:
Mozilla Thunderbird
Un grave problema de seguridad podría comprometer seriamente los equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente
se da el problema en entornos UNIX o derivados. Los usuarios de Microsoft Windows pueden respirar tranquilos, si bien se prevé una
inminente actualización para el cliente de correo y noticias, que debería ser aprovechada para sincronizar versiones, independientemente de la
plataforma que se emplee.
El problema radica en que el script de shell empleado para lanzar Mozilla Thunderbird podría facilitar la ejecución de comandos
arbitrarios, ya que es factible construir una URL maliciosa que contenga comandos adicionales externos, contenidos entre barras invertidas, que
son parseados y ejecutados sin más comprobaciones. En sistemas donde el gestor de correo por defecto sea Thunderbird, un atacante podría
suministrar a la víctima enlaces maliciosos, que al ser pulsados, invocarían al cliente de correo. Si a esa URL se le añaden comandos
arbitrarios, éstos serían irremediablemente ejecutados.
Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la
aplicación hasta la aparición de la versión que corrija el problema.
Mozilla Firefox
Se ha liberado recientemente la versión 1.0.7 que corrige dos importantes fallos de seguridad, entre los que está la posibilidad
análoga a la descrita para Thunderbird, consistente en la factibilidad de ejecutar comandos arbitrarios lanzando las aplicaciones desde la
shell. Un ejemplo de secuencia en la shell sería el siguiente:
sergio@hispasec:~$ firefox http://local\`find\`host (ejecución con éxito del comando "find")
Otro problema resuelto es la conocida vulnerabilidad que provoca el colapso del navegador cuando se tratan URLs con el carácter 0xAD en su
nombre de dominio 0xAD. También hay una corrección para scripts PAC (Proxy Auto-Config) que induciría al colapso de la aplicación.
Éstos problemas quedan resueltos con la versión de actualización 1.0.7, y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y
anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental Firefox 1.5 Beta 1 (Deer Park Alpha 2)
De todos modos, hay que estar atento a ciertos problemas, recientemente revisados, y que teóricamente se fueron corrigiendo en las versiones
1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener efectos colaterales al no estar resueltos. Éstos problemas, recordemos,
son cuatro, y están siendo revisados o actualizados documentalmente:
Un error en el procesamiento de imágenes XBM podría ser empleado para causar un desbordamiento de búfer a la hora de que el navegador gestione
una imagen especialmente preparada a tales efectos. La explotación exitosa de éste problema podría permitir la ejecución de código
arbitrario.
Otro error ha sido documentado, en este caso en el procesado de secuencias Unicode con atributo "zero-width non-joiner", que podrían
corromper la pila y ocasionar el colapso de la aplicación.
El tercer problema de reciente aparición es un error en el procesado de cabeceras a través de "XMLHttpRequest", que podría ser aprovechada por
usuarios maliciosos para inyectar peticiones no legítimas vía HTTP.
El cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM a través de un control XBL.
Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y permanecer atentos a versiones posteriores, que podrían ser igualmente
inminentes. Debido a las interrelaciones y el carácter de las vulnerabilidades, la recomendación de actualización es general,
independientemente de si se usa Windows o derivados de UNIX como plataforma.
Mozilla Suite
Todos los usuarios deben actualizar a la versión 1.7.12, que corrige diversos problemas de seguridad, de carácter crítico, que podrían
facilitar, de un modo remoto, el salto de restricciones de seguridad, la manipulación de datos y eventualmente, ganar acceso al sistema.
Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12 Opina sobre esta noticia: http://www.hispasec.com/unaaldia/2526/comentar
Más Información:
Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow Vulnerability:
http://www.securityfocus.com/bid/14784
Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability:
http://www.securityfocus.com/bid/14888
Mozilla Suite, Firefox And Thunderbird Multiple Vulnerabilities:
http://www.securityfocus.com/bid/14242
Multiple Browser Weak Authentication Mechanism Vulnerability:
http://www.securityfocus.com/bid/14325
Sergio Hernando
[email protected]
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!