Abuso en los protocolos registrados por Mozilla
Por Angela Ruiz
[email protected]
Se ha reportado una nueva vulnerabilidad relacionada con el manejo de los URIs, que afecta a Firefox (la versión 2.0.0.5 incluida), entre otros productos de Mozilla.
Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).
Mediante la utilización de comandos maliciosos, es posible invocar desde un simple enlace, la ejecución de un determinado código. Esto puede ser hecho también desde otro navegador, como Internet Explorer, si alguno de los productos vulnerables está instalado en el equipo (Firefox en este caso).
En las últimas semanas se ha hablado bastante del tema. La última versión de Firefox (2.0.0.5), corrige algunas vulnerabilidades relacionadas con los URIs. También Thunderbird y SeaMonkey han sido actualizados al respecto.
Esto ha generado cierta polémica, ya que en la mayoría de estos casos, las aguas están divididas, en relación a si el problema es del producto que registra en el registro los URIs necesarios para su funcionamiento (en este caso Firefox), o en el que permite la ejecución de código al interpretar un determinado URI (el caso de Internet Explorer).
Mozilla ha reconocido en su momento el problema y lo ha solucionado en parte (ahora vemos que se reporta uno nuevo).
Microsoft ha comentado que no es un problema de su software, ya que por una característica de diseño, el navegador hace lo que debe hacer. Es decir, cuando se hace clic en un URL se llama al programa encargado de manejar el protocolo pertinente, sea o no el propio programa de Microsoft.
Tal vez lo que debería hacer es advertir que se va a ejecutar un programa diferente, como lo hacen otros productos.
La pelea entre fanáticos de uno u otro programa, no lleva a nada, ya que el problema existe, sin importar el software que se prefiera.
Por el momento, debemos mencionar este problema como una vulnerabilidad de Firefox, ya que la ejecución de código puede producirse por su presencia en el equipo, como lo
demuestran las pruebas de concepto publicadas.
Los URIs afectados por el momento (además de los mencionados días anteriores), son mailto: y telnet:. El primero puede ejecutar código por solo hacer clic en un enlace. El segundo, requiere cierta interacción con el usuario.
Otros URIs afectados: news: y nntp:
De todos modos, hay ciertas limitaciones para ataques maliciosos que resulten exitosos, utilizando estas debilidades en el diseño del software involucrado.
Otros productos (por ejemplo Trillian, que corrigió una
vulnerabilidad similar hace unos días), que registran
protocolos propios, también son afectados.
* Más información:
Remote Command Exec (FireFox 2.0.0.5 et al)
http://securityvulns.com/Rdocument607.html
More URI Handling Vulnerabilites (FireFox Remote Command Execution)
http://securityvulns.com/Rdocument606.html
Mozilla protocol abuse
http://larholm.com/2007/07/25/mozilla-protocol-abuse/
Fuente: http://www.vsantivirus.com/abuso-uris-250707.htm
[email protected]
Se ha reportado una nueva vulnerabilidad relacionada con el manejo de los URIs, que afecta a Firefox (la versión 2.0.0.5 incluida), entre otros productos de Mozilla.
Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).
Mediante la utilización de comandos maliciosos, es posible invocar desde un simple enlace, la ejecución de un determinado código. Esto puede ser hecho también desde otro navegador, como Internet Explorer, si alguno de los productos vulnerables está instalado en el equipo (Firefox en este caso).
En las últimas semanas se ha hablado bastante del tema. La última versión de Firefox (2.0.0.5), corrige algunas vulnerabilidades relacionadas con los URIs. También Thunderbird y SeaMonkey han sido actualizados al respecto.
Esto ha generado cierta polémica, ya que en la mayoría de estos casos, las aguas están divididas, en relación a si el problema es del producto que registra en el registro los URIs necesarios para su funcionamiento (en este caso Firefox), o en el que permite la ejecución de código al interpretar un determinado URI (el caso de Internet Explorer).
Mozilla ha reconocido en su momento el problema y lo ha solucionado en parte (ahora vemos que se reporta uno nuevo).
Microsoft ha comentado que no es un problema de su software, ya que por una característica de diseño, el navegador hace lo que debe hacer. Es decir, cuando se hace clic en un URL se llama al programa encargado de manejar el protocolo pertinente, sea o no el propio programa de Microsoft.
Tal vez lo que debería hacer es advertir que se va a ejecutar un programa diferente, como lo hacen otros productos.
La pelea entre fanáticos de uno u otro programa, no lleva a nada, ya que el problema existe, sin importar el software que se prefiera.
Por el momento, debemos mencionar este problema como una vulnerabilidad de Firefox, ya que la ejecución de código puede producirse por su presencia en el equipo, como lo
demuestran las pruebas de concepto publicadas.
Los URIs afectados por el momento (además de los mencionados días anteriores), son mailto: y telnet:. El primero puede ejecutar código por solo hacer clic en un enlace. El segundo, requiere cierta interacción con el usuario.
Otros URIs afectados: news: y nntp:
De todos modos, hay ciertas limitaciones para ataques maliciosos que resulten exitosos, utilizando estas debilidades en el diseño del software involucrado.
Otros productos (por ejemplo Trillian, que corrigió una
vulnerabilidad similar hace unos días), que registran
protocolos propios, también son afectados.
* Más información:
Remote Command Exec (FireFox 2.0.0.5 et al)
http://securityvulns.com/Rdocument607.html
More URI Handling Vulnerabilites (FireFox Remote Command Execution)
http://securityvulns.com/Rdocument606.html
Mozilla protocol abuse
http://larholm.com/2007/07/25/mozilla-protocol-abuse/
Fuente: http://www.vsantivirus.com/abuso-uris-250707.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!