Múltiples vulnerabilidades en Mozilla y Firefox

en Noticias de Seguridad Informatica
TU PANEL DE CONTROL:
REGISTRAR
Wilkinsonpc Tienda Productos Servicios Recursos Gratuitos - Gratis Soporte Comunidad
Foros Qubitaria Ayuda de los Foros
Retroceder   Foros Comunidad : Noticias de Actualidad : Noticias de Seguridad Informatica
Noticias de Seguridad Informatica Noticias de Seguridad Informatica Todas las Noticias de Seguridad Informatica. Alertas y fallos de seguridad.

Múltiples vulnerabilidades en Mozilla y Firefox

Compartir

Mozilla Suite y Mozilla Firefox, son afectados por múltiples vulnerabilidades explotables en forma remota. Para resolver las mismas, se han publicado las versiones Mozilla Suite 1.7.9 y Firefox 1.0.5.

La mayoría de estas vulnerabilidades pueden ser utilizadas para la ejecución remota de código, o para eludir las políticas de acceso y escalar privilegios. También habilitan la ejecución de scripts (archivos de comandos).

Un atacante puede obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado.

Estas vulnerabilidades también permiten a un atacante robar cookies, o acceder a otra información confidencial.


* Ejecución de código vía "shared function objects"

Referencia: Mozilla Foundation Security Advisory 2005-56

Una vulnerabilidad crítica en la clonación impropia de objetos permite que un sitio web mediante un script pueda ejecutar código con los máximos privilegios en el equipo de su víctima.


* XHTML node spoofing

Referencia: Mozilla Foundation Security Advisory 2005-55

Un documento HTML podría ser utilizado para crear falsos elementos <IMG> que podrían utilizarse para instalar software malicioso en la máquina de la víctima.


* Spoofing en avisos de Javascript

Referencia: Mozilla Foundation Security Advisory 2005-54

Las ventanas de alerta y los avisos creados por scripts en páginas web, se presentan al usuario con un título genérico, que puede hacer difícil identificar si fueron creados por el mismo sitio, o por un sitio malicioso, el cuál podría aprovecharse de esto para mostrar un aviso sobre el contenido verdadero de una página de confianza, haciendo que el usuario ingrese en ellos información comprometedora. La actualización hace que estos avisos muestren el nombre del sitio que los genera.


* Aplicaciones independientes pueden ejecutar código a través del navegador

Referencia: Mozilla Foundation Security Advisory 2005-53

Algunos reproductores multimedia que soportan scripts, por ejemplo Flash y QuickTime, poseen la habilidad de abrir direcciones (URLs) en el navegador por defecto. Cuando ello sucede, Firefox puede llegar a mostrar un contenido externo diferente al de la página que el usuario cree estar visitando, con la posibilidad de que un usuario malicioso se aproveche de este comportamiento para robar información confidencial como cookies de acceso o contraseñas, o hasta ejecutar código de forma arbitraria.


* Vulnerabilidad en marcos [top.focus()]

Referencia: Mozilla Foundation Security Advisory 2005-52

Un atacante podría utilizar maliciosamente páginas con marcos para esconder el verdadero origen de determinadas ventanas, con la posibilidad de robar cookies y contraseñas del usuario, o para suplantarlo.


* El retorno del "frame-injection spoofing"

Referencia: Mozilla Foundation Security Advisory 2005-51

El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar de otra ventana. Esta vulnerabilidad había sido solucionada en versiones anteriores de Mozilla y Firefox, pero por error había reaparecido en las últimas versiones.


* Vulnerabilidad en "InstallVersion.compareTo"

Referencia: Mozilla Foundation Security Advisory 2005-50

Esta vulnerabilidad podría hacer que el navegador deje de responder, causando una violación de acceso. Un atacante podría llegar incluso a ejecutar código de forma arbitraria, aunque las posibilidades de lograrlo exitosamente son escasas.


* Inyección de script desde barra lateral de Firefox

Referencia: Mozilla Foundation Security Advisory 2005-49

La falta de un control de seguridad permite que un sitio pueda inyectar desde la barra lateral del Firefox, un script malicioso en cualquier página abierta en el navegador. Esto puede permitir el robo de cookies, contraseñas, o cualquier otra información sensible.


* Infracción en función "InstallTrigger.install()"

Referencia: Mozilla Foundation Security Advisory 2005-48

Cuando se utiliza la función "InstallTrigger.install()" para iniciar una instalación, se puede forzar la navegación a una nueva página que se ejecutará en el contexto de la página anterior. Un script podría ejecutarse para robar contraseñas y cookies, o realizar las mismas acciones que el usuario lleve a cabo en el sitio que visitaba.

En Firefox, los escenarios predefinidos, permiten solo que el cuadro de diálogo de la instalación funcione con http:://addons.mozilla.org, pero igualmente podría ser explotado si el atacante puede convencer al usuario a agregar su sitio a la "whitelist". En Mozilla la característica de "whitelist" se encuentra deshabilitada por defecto, y cualquier sitio debe preguntar al usuario para instalar software y explotar esta vulnerabilidad.


* Ejecución de código vía "Set as Wallpaper"

Referencia: Mozilla Foundation Security Advisory 2005-47

Si un atacante convence a su víctima a utilizar la opción del menú contextual "Set As Wallpaper" (establecer como imagen de fondo), puede llegar a ejecutar código en forma arbitraria en el equipo del usuario, si el archivo a utilizar ha sido modificado maliciosamente.

Esta vulnerabilidad afecta solo a Firefox 1.0.3 y 1.0.4.


* Ejecución de scripts XBL aún con Javascript desactivado

Referencia: Mozilla Foundation Security Advisory 2005-46

Scripts en XBL (eXtensible Bindings Language), pueden ser ejecutados desde una página maliciosa, aún si se ha desactivado Javascript en Mozilla Suite, Thunderbird y Firefox.

En Thunderbird y el cliente de correo de Mozilla Suite, Javascript está deshabilitado por defecto como protección contra ataques de denegación de servicio y gusanos. Esta vulnerabilidad permite eludir dicha protección.


* Vulnerabilidad de generación de contenido en eventos

Referencia: Mozilla Foundation Security Advisory 2005-45

El navegador puede no distinguir entre eventos generados por los verdaderos usuarios (clics del ratón, pulsación de teclas, etc.), y otros generados artificialmente por un sitio malicioso.


Software vulnerable:

- Mozilla Browser 1.0 RC2
- Mozilla Browser 1.0 RC1
- Mozilla Browser 1.0
- Mozilla Browser 1.0.1
- Mozilla Browser 1.0.2
- Mozilla Browser 1.1 Beta
- Mozilla Browser 1.1 Alpha
- Mozilla Browser 1.1
- Mozilla Browser 1.2 Beta
- Mozilla Browser 1.2 Alpha
- Mozilla Browser 1.2
- Mozilla Browser 1.2.1
- Mozilla Browser 1.3
- Mozilla Browser 1.3.1
- Mozilla Browser 1.4 b
- Mozilla Browser 1.4 a
- Mozilla Browser 1.4
- Mozilla Browser 1.4.1
- Mozilla Browser 1.4.2
- Mozilla Browser 1.4.4
- Mozilla Browser 1.5
- Mozilla Browser 1.5.1
- Mozilla Browser 1.6
- Mozilla Browser 1.7 rc3
- Mozilla Browser 1.7 rc2
- Mozilla Browser 1.7 rc1
- Mozilla Browser 1.7 beta
- Mozilla Browser 1.7 alpha
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Browser 1.7.6
- Mozilla Browser 1.7.7
- Mozilla Browser 1.7.8
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1
- Mozilla Firefox 1.0.2
- Mozilla Firefox 1.0.3
- Mozilla Firefox 1.0.4


Software NO vulnerable:

- Mozilla Browser 1.7.9
- Mozilla Firefox 1.0.5


Solución

Actualizarse a las versiones no vulnerables, desde los siguientes enlaces:

Mozilla Browser Suite 1.7.9 o superior
http://www.mozilla-europe.org/es/products/mozilla1x/

Mozilla Firefox 1.0.5 o superior
http://www.mozilla-europe.org/es/products/


NOTA: Tenga en cuenta que puede no existir aún la versión en español.


Créditos:

moz_bug_r_a4, shutdown (2005-56)
moz_bug_r_a4 (2005-55)
Secunia.com (2005-54)
Michael Krax (2005-53)
Andreas Sandblad (Secunia) (2005-52)
Secunia.com (2005-51)
shutdown (2005-50)
Kohei Yoshino (2005-49)
Matthew Mastracci (2005-48)
Michael Krax (2005-47)
moz_bug_r_a4 (2005-46)
Omar Khan, Jochen, shutdown, Matthew Mastracci (2005-45)

Referencias

Mozilla Foundation Security Advisory 2005-56
Title: Code execution through shared function objects
http://www.mozilla.org/security/anno...sa2005-56.html

Mozilla Foundation Security Advisory 2005-55
Title: XHTML node spoofing
http://www.mozilla.org/security/anno...sa2005-55.html

Mozilla Foundation Security Advisory 2005-54
Title: Javascript prompt origin spoofing
http://www.mozilla.org/security/anno...sa2005-54.html

Mozilla Foundation Security Advisory 2005-53
Title: Standalone applications can run arbitrary code through the browser
http://www.mozilla.org/security/anno...sa2005-53.html

Mozilla Foundation Security Advisory 2005-52
Title: Same origin violation: frame calling top.focus()
http://www.mozilla.org/security/anno...sa2005-52.html

Mozilla Foundation Security Advisory 2005-51
Title: The return of frame-injection spoofing
http://www.mozilla.org/security/anno...sa2005-51.html

Mozilla Foundation Security Advisory 2005-50
Title: Possibly exploitable crash in InstallVersion.compareTo
http://www.mozilla.org/security/anno...sa2005-50.html

Mozilla Foundation Security Advisory 2005-49
Title: Script injection from Firefox sidebar panel using data:
http://www.mozilla.org/security/anno...sa2005-49.html

Mozilla Foundation Security Advisory 2005-48
Title: Same-origin violation with InstallTrigger callback
http://www.mozilla.org/security/anno...sa2005-48.html

Mozilla Foundation Security Advisory 2005-47
Title: Code execution via "Set as Wallpaper"
http://www.mozilla.org/security/anno...sa2005-47.html

Mozilla Foundation Security Advisory 2005-46
Title: XBL scripts ran even when Javascript disabled
http://www.mozilla.org/security/anno...sa2005-46.html

Mozilla Foundation Security Advisory 2005-45
Title: Content-generated event vulnerabilities
http://www.mozilla.org/security/anno...sa2005-45.html


Relacionados

Firefox
http://www.mozilla.org/products/firefox/
http://www.mozilla-europe.org/es/products/firefox/

Mozilla Suite
http://www.mozilla.org/products/mozilla1.x/
http://www.mozilla-europe.org/es/products/mozilla1x/


Fuente: VSANTIVIRUS
Compartir
  #1  
Creado: 15-Jul-2005, a las 16:10 Vistas: 818
Categoria: Noticias de Seguridad Informatica
Creado por: W-Bot W-Bot está desconectado (18-February-2005 | Colombia | 5.563 Mensajes.)
Respuesta

Etiquetas
firefox, mozilla, multiples, vulnerabilidades


Temas Similares
» Múltiples vulnerabilidades en Sun Java 0
» Múltiples vulnerabilidades en archivos FLAC 0
» Múltiples vulnerabilidades Zero day en IE y Firefox 0
» Múltiples vulnerabilidades en Mozilla Firefox 2.0.0.2 0
» Múltiples vulnerabilidades en productos de Oracle 0
» Múltiples vulnerabilidades en Apple QuickTime 0
» Múltiples vulnerabilidades críticas en Skype 0
» Opera 8.50 soluciona múltiples vulnerabilidades 0
» Múltiples vulnerabilidades en Netscape 8.0 0
» Múltiples vulnerabilidades en Mozilla y Firefox 0


Herramientas Buscar en Tema
Buscar en Tema:

Búsqueda Avanzada
Desplegado

Ir al Foro


» ComuniDAD
Inicio
Noticias de Actualidad
Apuntes, Monografias y Tareas
Telefonia, Celulares, TV, GPS, ISP, PDA
Programas Windows, Mac, Linux, etc.
Hardware, Electronica y Redes
Diseño Web y Programacion
Internet y Grandes Portales
Juegos, Consolas y Emuladores
Multimedia, Diseño y Animaciones
Peliculas, Series, Musica, Trailers, Videos, Parodias
Seguridad y Spyware
Salud, Bienestar, Familia y Esparcimiento
Economia, Negocios y Asuntos Legales
Hoteles, Viajes y Turismo
Mundo a Motor [Motos, Autos, etc]
Foros Generales (OFF TOPIC)
Calendario de Eventos
Administracion ComuniDAD



Ultimos Temas


La franja horaria es GMT -5. Ahora son las 02:10.


2010 ©
Powered by : vBulletin® Versión 3.8.8 Copyright ©2000 - 2019, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.2.0
Sitemap 1 - Sitemap 2 - Sitemap 3 - Sitemap 4