1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2005-001 Tres Vulnerabilidades en Mozilla Firefox

Se han reportado tres vulnerabilidades en Firefox, las cuales pueden explotarse para burlar ciertas restricciones de seguridad y comprometer el sistema de un usuario.

  • Fecha de Liberación: 24-Mar-2005
  • Fuente: Mozilla Foundation Security
  • Riesgo Crítico

Sistemas Afectados

Mozilla Firefox < 1.0.2

Sistemas No Afectados

Mozilla Firefox >= 1.0.2
  1. Descripción

    Se reportarón tres vulnerabilidades en Firefox, las cuales pueden ser explotadas por personas maliciosas para burlar ciertas restricciones de seguridad y comprometer el sistema de un usuario.

    1) Un error en la restricción de los archivos privilegiados XUL puede ser explotada para abrir un archivo XUL local con privilegios engañando a un usuario con una scrollbar falsa.

    La vulnerabilidad no presenta algún riesgo directo de la seguridad por si misma, los archivos XUL no usan parametros externos de la aplicación de forma insegura, no realizan acciones destructivas al ser abiertos.

    2) Un sitio Web agregado como un panel lateral puede cargar contenido con privilegios, lo cual puede explotarse para ejecutar programas arbitrarios inyectando JavaScript dentro de una URL con privilegios.

    3) Un error de frontera en el procesamiento de las imagenes GIF de Netscape, bloques de extensión 2, puede explotarse para ocasionar un desbordamiento de memoria de heap, via una imagén maliciosa.

    Una explotación exitosa puede permitir la ejecución de código arbitrario.

    Las vulnerabilidades fueron reportadas para las versiones menores a la 1.0.2

  2. Impacto

    Security Bypass

    Acceso remoto al sistema.

  3. Soluciones

    Actualizar a la versión 1.0.2

    http://www.mozilla.org/products/firefox/
  4. Apendices

    Mayor información.

    http://www.mozilla.org/mfsa2005-32.html
    http://www.mozilla.org/mfsa2005-31.html
    http://www.mozilla.org/mfsa2005-30.html
    http://xforce.iss.net/

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT