Giskard
27-03-2005, 06:04
Fuente: www.hispasec.com
Nuevas vulnerabilidades en Mozilla Firefox
-------------------------------------------
Se han descubierto tres vulnerabilidades en Firefox (versiones
anteriores a la 1.0.2) que pueden ser explotadas por usuarios
maliciosos para saltarse ciertas restricciones de seguridad y
comprometer un sistema afectado.
Un error en la restricción de archivos XUL privilegiados puede ser
explotado para, por ejemplo, abrir un archivo de este tipo engañando
a un usuario para que arrastre una barra de scroll falsificada. La
vulnerabilidad en sí no es ningún riesgo de seguridad directo, ya que
los archivos XUL del producto no usan parámetros externos de forma no
segura, ni pueden realizar acciones destructivas cuando son abiertos.
Un sitio web añadido como un panel de barra lateral puede cargar
contenidos privilegiados, lo que puede ser aprovechado para ejecutar
programas arbitrarios al inyectar JavaScript en una URL privilegiada.
Finalmente, también se ha detectado un error en el tratamiento de
tamaños de variables a la hora de procesar imágenes GIF en bloques
Netscape extension 2. Este problema puede explotarse para provocar
un desbordamiento de búfer al procesar un GIF especialmente creado
a tal efecto, y con ello la ejecución remota de código arbitrario.
Se recomienda actualizar a la versión 1.0.2, disponible en la
siguiente dirección:
http://www.mozilla.org/products/firefox/
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2343/comentar
Más información:
Drag and drop loading of privileged XUL
http://www.mozilla.org/security/announce/mfsa2005-32.html
Arbitrary code execution from Firefox sidebar panel
http://www.mozilla.org/security/announce/mfsa2005-31.html
GIF heap overflow parsing Netscape extension 2
http://www.mozilla.org/security/announce/mfsa2005-30.html
Mozilla Foundation GIF Overflow
http://xforce.iss.net/xforce/alerts/id/191
Julio Canto
[email protected]
Tal día como hoy:
-----------------
24/03/2004: Gusano Netsky.P el más propagado en las últimas 24 horas
http://www.hispasec.com/unaaldia/1977
24/03/2003: Los programas informáticos NO derriban aviones
http://www.hispasec.com/unaaldia/1611
24/03/2002: Microsoft desarrolla passwords basados en imágenes
http://www.hispasec.com/unaaldia/1246
24/03/2001: Vulnerabilidad en Eudora 5.02
http://www.hispasec.com/unaaldia/881
24/03/2000: Resumen de Bugtraq del 28-02-2000 al 05-03-2000
http://www.hispasec.com/unaaldia/514
24/03/1999: Microsoft responde a las críticas
http://www.hispasec.com/unaaldia/148
Nuevas vulnerabilidades en Mozilla Firefox
-------------------------------------------
Se han descubierto tres vulnerabilidades en Firefox (versiones
anteriores a la 1.0.2) que pueden ser explotadas por usuarios
maliciosos para saltarse ciertas restricciones de seguridad y
comprometer un sistema afectado.
Un error en la restricción de archivos XUL privilegiados puede ser
explotado para, por ejemplo, abrir un archivo de este tipo engañando
a un usuario para que arrastre una barra de scroll falsificada. La
vulnerabilidad en sí no es ningún riesgo de seguridad directo, ya que
los archivos XUL del producto no usan parámetros externos de forma no
segura, ni pueden realizar acciones destructivas cuando son abiertos.
Un sitio web añadido como un panel de barra lateral puede cargar
contenidos privilegiados, lo que puede ser aprovechado para ejecutar
programas arbitrarios al inyectar JavaScript en una URL privilegiada.
Finalmente, también se ha detectado un error en el tratamiento de
tamaños de variables a la hora de procesar imágenes GIF en bloques
Netscape extension 2. Este problema puede explotarse para provocar
un desbordamiento de búfer al procesar un GIF especialmente creado
a tal efecto, y con ello la ejecución remota de código arbitrario.
Se recomienda actualizar a la versión 1.0.2, disponible en la
siguiente dirección:
http://www.mozilla.org/products/firefox/
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2343/comentar
Más información:
Drag and drop loading of privileged XUL
http://www.mozilla.org/security/announce/mfsa2005-32.html
Arbitrary code execution from Firefox sidebar panel
http://www.mozilla.org/security/announce/mfsa2005-31.html
GIF heap overflow parsing Netscape extension 2
http://www.mozilla.org/security/announce/mfsa2005-30.html
Mozilla Foundation GIF Overflow
http://xforce.iss.net/xforce/alerts/id/191
Julio Canto
[email protected]
Tal día como hoy:
-----------------
24/03/2004: Gusano Netsky.P el más propagado en las últimas 24 horas
http://www.hispasec.com/unaaldia/1977
24/03/2003: Los programas informáticos NO derriban aviones
http://www.hispasec.com/unaaldia/1611
24/03/2002: Microsoft desarrolla passwords basados en imágenes
http://www.hispasec.com/unaaldia/1246
24/03/2001: Vulnerabilidad en Eudora 5.02
http://www.hispasec.com/unaaldia/881
24/03/2000: Resumen de Bugtraq del 28-02-2000 al 05-03-2000
http://www.hispasec.com/unaaldia/514
24/03/1999: Microsoft responde a las críticas
http://www.hispasec.com/unaaldia/148