sábado, 19 de julio de 2008

Actualización de seguridad para Firefox 3 y otros productos Mozilla

La Fundación Mozilla ha publicado actualizaciones de seguridad para varios de sus productos, que solventan múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.

El primero de los problemas corregidos en Firefox 2 y 3, que también afectaría a SeaMonkey (y a Thunderbird si se tiene JavaScript habilitado), fue reportado por un investigador anónimo a Zero Day Initiative tan sólo cinco horas después del lanzamiento de la versión 3 del navegador, el pasado día 17 de junio. El segundo fallo lo comparten las versiones 2 y 3 de Firefox, mientras que el tercero solo afectaría a la rama 3 del navegador ejecutándose sobre la plataforma Mac OS X.

A continuación se explican las vulnerabilidades con más detalle:

* Se ha descubierto un error de desbordamiento de búfer al procesar ciertos contenidos web. El problema está causado por un error en el manejo del contador de referencia para los objetos CSS (hojas de estilo en cascada), más concretamente al intentar liberar los objetos CSS todavía en uso cuando se recibe un excesivo número de peticiones de referencia a éste tipo de objetos. Esto podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o para ejecutar código arbitrario, por medio de una web maliciosa que sobrecargase el contador de objetos CSS por medio de gran número de referencias a la hojas de estilo.

* Existe una segunda vulnerabilidad (salto de restricciones) que podría hacer que se abrieran múltiples pestañas en el navegador si una aplicación que lo invoca, cuando Firefox NO está corriendo, le pasa una línea de comandos especialmente modificada con una URI que contenga el carácter "pipe" ("|"). Ejemplo: 'firefox http://hispasec.com|virustotal.com'. Ésta vulnerabilidad podría ser aprovechada para saltarse las restricciones de seguridad que previenen el acceso a URIs especiales, permitiendo la ejecución de archivos almacenados en el sistema local (por medio de URIs del tipo "file:"). Billy Rios ya informó de que este fallo, del que no se han desvelado los detalles hasta ahora, podría ser aprovechado junto con la vulnerabilidad "Carpet Bomb" de Safari para ejecutar código arbitrario en un sistema vulnerable. Además ahora se avisa de que también podría ser aprovechado para ejecutar código arbitrario si se invoca a un objeto del tipo chrome (URIs de la forma "chrome:") al que se hubiera le inyectado código script por medio de otra vulnerabilidad.

* El tercer problema de seguridad fue descubierto por Drew Yao de Apple Product Security y está causado por un fallo en el tratamiento de imágenes GIF. Esto podría causar que Firefox liberase un puntero no inicializado, lo que podría aprovechado por un atacante remoto, por medio de un archivo GIF especialmente manipulado, para hacer que el navegador dejase de responder o ejecutar código arbitrario.

Además de las vulnerabilidades, la nueva versión de Firefox 3 ha solventado algunos fallos de estabilidad, un problema en las bases de datos de URLs maliciosas (utilizadas para el phishing o la descarga de malware) y trae una actualización de la Public Suffix list (lista pública de terminaciones de dominio).

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.16 ó 3.0.1, Thunderbird 2.0.0.16 y SeaMonkey 1.1.11 tan pronto como estén disponibles desde:
http://www.mozilla.com/


Pablo Molina
pmolina@hispasec.com