viernes, 7 de enero de 2005

Grave problema de seguridad en versiones no actualizadas de Mozilla

Las versiones no actualizadas de Mozilla contienen una vulnerabilidad
que permite que un atacante remoto ejecute código arbitrario en la
máquina víctima.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Su mayor
exponente es el propio Mozilla, el entorno web sobre el que se basa el
reciente Netscape 7.2. Pero también hay muchos otros productos que
se basan en Mozilla, tales como otros navegadores, entornos de
desarrollo, sistemas de navegación...

Las versiones de Mozilla anteriores a la 1.7.5 contiene una
vulnerabilidad en la gestión del protocolo NNTP que permite que un
atacante remoto ejecute código arbitrario en la máquina víctima, con
los privilegios de su usuario.

Una página web o un mensaje de correo electrónico malicioso puede
contener un enlace "news://", que indique un servidor NNTP a su antojo. Si
el servidor en cuestión es asimismo malicioso y envía una respuesta NNTP
especialmente formateada, puede ocasionar un desbordamiento de búfer en
Mozilla, matando el proceso o, si el atacante es cuidadoso, puede
ejecutar código arbitrario en la máquina del usuario.

Hispasec recomienda a todos los usuarios de Mozilla que actualicen a la
versión 1.7.5, disponible ya hace días.

Las versiones 1.0 de Firefox y Thunderbird no se ven afectadas por este
problema.


Jesús Cea Avión
jcea@hispasec.com


Más información:

NNTP Security Flaw in Mozilla 1.7.3 and Below
http://www.mozillazine.org/talkback.html?article=5844

A critical security vulnerability has been found in Mozilla Project code
handling NNTP protocol
http://www.isec.pl/vulnerabilities/isec-0020-mozilla.txt

No hay comentarios:

Publicar un comentario en la entrada