Se reportarón varias vulnerabilidades en Firefox que pueden explotarse para realizar ataques de Spoofing, manipular datos, burlar ciertas restricciones de seguridad, y comprometer el sistema de un usuario.
Mozilla Foundation Security Advisory
2005-58
Mozilla Firefox | < | 1.0.7 |
Mozilla Suite | < | 1.7.12 |
Se reportarón varias vulnerabilidades en Firefox, que pueden explotarse por personas maliciosas para realizar ataques de Spoofing, manipular datos, burlar ciertas restricciones de seguridad, y comprometer el sistema de un usuario.
Puede explotarse un error en el procesamiento de imagenes XBM para ocasionar un desbordamiento de heap via una imagén maliciosa.
Una explotación exitosa podría permitir la ejecución de código arbitrario.
Puede explotarse un error en el procesamiento de secuencias Unicode con carácteres "zero-width non-joiner" para corromper la memoria y tirar la aplicación.
Una explotación exitosa podría permitir ejecución de código arbitrario.
Se puede explotar un error de validación de entrada al procesar las cabeceras que se pasan al objeto "XMLHttpRequest" para inyectar peticiones HTTP arbitrarias.
Un error no especificado en un control XBL que implementa una interfase interna puede imitar objetos DOM.
Un error no especificado de desbordamiento de variable en el procesador de JavaScript puede explotarse para ejecutar código arbitrario.
Un problema en las páginas "about:", que no tienen privilegios, pueden cargar paginas "chrome:" en ciertas situaciones.
El anterior no significa un riesgo de seguridad por si mismo, pero puede explotarse en combinación con otras vulnerabilidades de Cross-site scripting para ejecutar código arbitrario.
Un error en la creación de ventanas puede explotarse para abrir una ventana sin la barra de direcciones y la barra de estado via una referencia a una ventana cerrada.
Una explotación exitosa podría permitir burlar ciertos mecanismos de protección contra ataques de phising.
Las vulnerabilidades fuerón reportadas en la versión 1.0.6. Versiones anteriores también podrían ser afectadas.
Security Bypass.
Spoofing.
Manipulación de datos.
Acceso al sistema.
Actualizar a la versión 1.0.7 de Firefox.
http://www.mozilla.org/products/firefox/
Actualizar a la versión 1.7.12 de Mozilla.
http://www.mozilla.org/products/mozilla1.x/
Mayor información.
http://www.mozilla.org/security/announce/mfsa2005-58.htmlLa Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT