Sistemas Afectados

1. Descripción

   Varias vulnerabilidades han sido reportadas en el navegador web Mozilla y productos derivados. Información detallada esta disponible en cada una de las notas de vulnerabilidades, incluyendo las siguientes:

   VU#476724 - Productos Mozilla fallan en el manejo apropiado de referencias a frames

   Los productos Mozilla fallan al manejar apropiadamente las referencias a frames o ventanas. Esto podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-3801)

   VU#670060 - Mozilla falla al liberar referencias de JavaScript.

   Los productos Mozilla fallan al liberar memoria de forma apropiada. Esta vulnerabilidad podría permitir a un intruso remoto ejecutar código en un sistema vulnerable. (CVE-2006-3677)

   VU#239124 - Mozilla falla al manejar eventos XPCOM simultáneos de forma apropiada.

   Los productos Mozilla son vulnerables a una corrupción en memoria por medio de eventos XPCOM simultáneos. Esto podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-3113)

   VU#265964 - Los productos Mozilla contienen un race condition

   Los productos Mozilla contienen un race condition. Esta vulnerabilidad podría permitir a un intruso remoto ejecutar código en un sistema vulnerable. (CVE-2006-3803)

   VU#897540 - Los productos Mozilla son afectados por un buffer overflow en datos VCard adjuntos

   Los productos Mozilla fallan en el manejo apropiado de datos adjuntos mal formados de tipo VCard, permitiendo que ocurra un buffer overflow. Esta vulnerabilidad podría permitir a un intruso remoto ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-3804)

2. Impacto

   Un intruso remoto, no autenticado podría ejecutar código arbitrario en un sistema vulnerable. Un intruso también podría provocar que una aplicación vulnerable deje de funcionar.

3. Solución

   Actualizar

   Actualizar a Mozilla Firefox 1.5.0.5, Mozilla Thunderbird 1.5.0.5, o SeaMonkey 1.0.3.

   Deshabilitar JavaScript y Java

   Estas vulnerabilidades pueden mitigarse deshabilitando Javascript y Java en todos los productos afectados. Las instrucciones para deshabilitar Java en Firefox pueden encontrarse en el documento "Asegurando tu navegador web".

4. Apéndice A. Referencias

   • Notas de vulnerabilidad relacionadas con los boletines de seguridad de Mozilla de julio - <http://www.kb.cert.org/vuls/byid?searchview&query=firefox_1505>
   • CVE-2006-3081 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3801>
   • CVE-2006-3677 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3677>
   • CVE-2006-3113 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3113>
   • CVE-2006-3803 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3803>
   • CVE-2006-3804 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3804>
   • CVE-2006-3805 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3805>
   • CVE-2006-3806 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3806>
   • CVE-2006-3807 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3807>
   • CVE-2006-3811 - <http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3811>
   • Boletines de seguridad de la Fundación Mozilla - <http://www.mozilla.org/security/announce/>
   • Vulnerabilidades conocidas en los productos Mozilla - <http://www.mozilla.org/projects/security/known-vulnerabilities.html>
   • Asegurando tu navegador web - <http://www.us-cert.gov/reading_room/securing_browser/browser_security.html#Mozilla_Firefox>

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
• David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx)