Vulnerabilidades en Mozilla
Comparte esta nota 04.02.05Vimos en VSAntivirus una lista extensa de vulnerabilidades que afectan a diversos productos de Mozilla (nadie es perfecto). Recogimos las mas importantes para que estén informados:
- Los navegadores Mozilla y Firefox son propensos a una vulnerabilidad que permite eludir el control de acceso al sistema. Esta vulnerabilidad puede ser explotada para revelar información relacionada con archivos del equipo del usuario afectado, por ejemplo, para revelar si existe o no un determinado archivo.
- Utilizando JavaScript para automatizar un proceso de ingreso de datos críticos, un atacante remoto puede explotar esta vulnerabilidad para mostrar al usuario un sitio falso, haciéndole creer que se encuentra en uno verdadero.
- Mozilla y Firefox poseen la funcionalidad de la combinación ALT + clic, que permite la descarga de archivos desde un enlace determinado, a la carpeta de descarga por defecto, sin que se muestren al usuario ventanas de diálogo. Un sitio malicioso podría explotar esta funcionalidad para descargar un archivo a la carpeta local por defecto, sin necesidad de ninguna interacción con el usuario.
- Se ha reportado que Mozilla Thunderbird, responde erróneamente a una solicitud de una cookie contenida en un mensaje electrónico con formato HTML. Esta vulnerabilidad puede ser utilizada por un atacante remoto para rastrear los correos electrónicos de la víctima.
- Mozilla Firefox es propenso a una vulnerabilidad que permite la ejecución local de código. La vulnerabilidad reside en la característica de marcador dinámico (livefeed bookmark). Se ha comprobado por ejemplo, que si se despliega “about:config” cuando el marcador dinámico es actualizado, puede producirse la ejecución arbitraria de código en el equipo afectado.
- Se ha reportado que Mozilla Thunderbird no maneja correctamente un URI como “javascript:”. La aplicación afectada utiliza el manejador por defecto para “javascript:” cuando, es registrado en el sistema operativo. Este es un comportamiento erróneo que puede resultar en la exposición a otras vulnerabilidades latentes, debido a una falsa sensación de seguridad.
Existen pruebas de concepto para todas estas vulnerabilidades.
La buena noticia es que al actualizar Mozilla, Firefox y Thunderbird, vemos que todo esto está corregido. ¿Estás al dia?
3 comentarios
n2h bloggie » Un susto nomás :)
06.02.05
[...] bsp; — Diego @ 10:05 am Leyendo HTML Life, me encuentro con un listado de vulnerabilidades de Mozilla Firefox. Entre algunas, me asustaron bastante: Mozill [...]
traductor
05.02.05
Entonces, ¿qué versiones están afectadas y cuáles no?
En la página de Mozilla, las últimas versiones disponibles son la 1.0 (que salió ya hace tiempo).
Dioni
08.03.05
Para estas versiones de momento no se conoce ninguna vulnerabilidad. ( de momento estan limpias)
- Mozilla Firefox 1.0
- Mozilla Thunderbird 1.0