viernes, 19 de febrero de 2010

Posible ejecución de código (sin parche) en Firefox 3.6

La reputada compañía rusa de seguridad Intevydis, asegura conocer una vulnerabilidad del navegador Firefox que puede permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dice que no puede confirmar el fallo.

Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, dice contener una vulnerabilidad desconocida hasta ahora para Firefox 3.6, que permite la ejecución de código arbitrario en Windows. A pesar de que Firefox ha publicado recientemente una nueva versión que soluciona cinco fallos de seguridad, la 3.6 no ha recibido ninguna actualización, con lo que parece que sigue siendo vulnerable a ese error (si es que existe). Evgeny Legerov, de Intevydis, dice que encontrar el fallo y crear un exploit no es nada trivial (desbordamiento de memoria intermedia basado en heap), pero que es muy fiable y funciona en la instalación por defecto del navegador sobre XP y Vista.

Mozilla Foundation parece que está al tanto del asunto, pero no ha podido confirmar la vulnerabilidad.

VulnDisco está disponible para "profesionales de la seguridad" Que paguen por él. Si se confirma el fallo, cualquiera podría tener acceso a esa información y comenzar a aprovecharla. No se tiene constancia de que esto haya ocurrido por ahora. Lo que sí se ha detectado es que esa versión de Firefox ha sufrido numerosos problemas de estabilidad al visitar ciertas páginas. Aunque podría no estar relacionado con el asunto. A veces es habitual que un fallo que hace que un programa deje de responder se convierta en un problema de seguridad aprovechable, aunque esto depende, lógicamente, de la naturaleza del error.

Evgeny Legerov no es ningún desconocido en el mundo de la seguridad, y lidera una empresa seria que comercializa un producto reputado como VulnDisco. No es la primera vez que se conoce un nuevo fallo de seguridad a través de la recopilación realizada en VulnDisco y, sin ningún tipo de prueba adicional, se da por válido dada su buena reputación.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Posts Firefox Fixes But Possible Bug Remains
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=223000368

Attack code for Firefox zero-day goes wild, says researcher
http://www.theregister.co.uk/2010/02/18/firefox_zero_day_report/

A security researcher claims to have released exploit code that affects
Firefox 3.6.
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=223000368

VulnDisco 9.0
https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/

No hay comentarios:

Publicar un comentario en la entrada