1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-428 Múltiples vulnerabilidades en Firefox y Suite de Mozilla.

Se reportarón varias vulnerabilidades en Firefox que pueden explotarse para realizar ataques de Spoofing, manipular datos, burlar ciertas restricciones de seguridad, y comprometer el sistema de un usuario.

  • Fecha de Liberación: 23-Sep-2005
  • Ultima Revisión: 24-Sep-2005
  • Fuente:

    Mozilla Foundation Security Advisory
    2005-58
  • CVE ID: CAN-2005-2701 CAN-2005-2702 CAN-2005-2703 CAN-2005-2704 CAN-2005-2705 CAN-2005-2706 CAN-2005-2707 CAN-2005-2968
  • Riesgo Altamente crítico
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Mozilla Firefox < 1.0.7
Mozilla Suite < 1.7.12

  1. Descripción

    Se reportarón varias vulnerabilidades en Firefox, que pueden explotarse por personas maliciosas para realizar ataques de Spoofing, manipular datos, burlar ciertas restricciones de seguridad, y comprometer el sistema de un usuario.

    1. Puede explotarse un error en el procesamiento de imagenes XBM para ocasionar un desbordamiento de heap via una imagén maliciosa.

      Una explotación exitosa podría permitir la ejecución de código arbitrario.

    2. Puede explotarse un error en el procesamiento de secuencias Unicode con carácteres "zero-width non-joiner" para corromper la memoria y tirar la aplicación.

      Una explotación exitosa podría permitir ejecución de código arbitrario.

    3. Se puede explotar un error de validación de entrada al procesar las cabeceras que se pasan al objeto "XMLHttpRequest" para inyectar peticiones HTTP arbitrarias.

    4. Un error no especificado en un control XBL que implementa una interfase interna puede imitar objetos DOM.

    5. Un error no especificado de desbordamiento de variable en el procesador de JavaScript puede explotarse para ejecutar código arbitrario.

    6. Un problema en las páginas "about:", que no tienen privilegios, pueden cargar paginas "chrome:" en ciertas situaciones.

      El anterior no significa un riesgo de seguridad por si mismo, pero puede explotarse en combinación con otras vulnerabilidades de Cross-site scripting para ejecutar código arbitrario.

    7. Un error en la creación de ventanas puede explotarse para abrir una ventana sin la barra de direcciones y la barra de estado via una referencia a una ventana cerrada.

      Una explotación exitosa podría permitir burlar ciertos mecanismos de protección contra ataques de phising.

    Las vulnerabilidades fuerón reportadas en la versión 1.0.6. Versiones anteriores también podrían ser afectadas.

  2. Impacto

    Security Bypass.

    Spoofing.

    Manipulación de datos.

    Acceso al sistema.

  3. Solución

    Actualizar a la versión 1.0.7 de Firefox.
    http://www.mozilla.org/products/firefox/

    Actualizar a la versión 1.7.12 de Mozilla.
    http://www.mozilla.org/products/mozilla1.x/

  4. Apéndices

    Mayor información.

    http://www.mozilla.org/security/announce/mfsa2005-58.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Floriberto López Velázquez (flopez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47

Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT