Durante los últimos días han aparecido importantes problemas de
seguridad en diversos productos desarrollados bajo el auspicio de
Mozilla Foundation.
Los productos sobre los que se han emitido alertas son Mozilla Firefox,
el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla
Suite, la suite de comunicaciones personal. Casi todos los problemas son
parecidos y debidos a causas idénticas, ya que los productos citados
comparten funcionalidad al emanar de código fuente muy parecido,
idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de
fallos anteriores, que no fueron convenientemente abstraídos al
problema raíz.
El compendio de problemáticas y el estado actual de las mismas es el
siguiente:
Mozilla Thunderbird
Un grave problema de seguridad podría comprometer seriamente los
equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente
se da el problema en entornos UNIX o derivados. Los usuarios de
Microsoft Windows pueden respirar tranquilos, si bien se prevé una
inminente actualización para el cliente de correo y noticias, que debería
ser aprovechada para sincronizar versiones, independientemente de la
plataforma que se emplee.
El problema radica en que el script de shell empleado para lanzar
Mozilla Thunderbird podría facilitar la ejecución de comandos
arbitrarios, ya que es factible construir una URL maliciosa que contenga
comandos adicionales externos, contenidos entre barras invertidas, que
son parseados y ejecutados sin más comprobaciones. En sistemas donde el
gestor de correo por defecto sea Thunderbird, un atacante podría
suministrar a la víctima enlaces maliciosos, que al ser pulsados,
invocarían al cliente de correo. Si a esa URL se le añaden comandos
arbitrarios, éstos serían irremediablemente ejecutados.
Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la
aplicación hasta la aparición de la versión que corrija el problema.
Mozilla Firefox
Se ha liberado recientemente la versión 1.0.7 que corrige dos
importantes fallos de seguridad, entre los que está la posibilidad
análoga a la descrita para Thunderbird, consistente en la factibilidad
de ejecutar comandos arbitrarios lanzando las aplicaciones desde la
shell. Un ejemplo de secuencia en la shell sería el siguiente:
sergio@hispasec:~$ firefox http://local\`find\`host (ejecución con éxito
del comando “find”)
Otro problema resuelto es la conocida vulnerabilidad que provoca el
colapso del navegador cuando se tratan URLs con el carácter 0xAD en su
nombre de dominio 0xAD. También hay una corrección para scripts PAC
(Proxy Auto-Config) que induciría al colapso de la aplicación.
Éstos problemas quedan resueltos con la versión de actualización 1.0.7,
y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y
anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental
Firefox 1.5 Beta 1 (Deer Park Alpha 2)
De todos modos, hay que estar atento a ciertos problemas, recientemente
revisados, y que teóricamente se fueron corrigiendo en las versiones
1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener
efectos colaterales al no estar resueltos. Éstos problemas, recordemos,
son cuatro, y están siendo revisados o actualizados documentalmente:
Un error en el procesamiento de imágenes XBM podría ser empleado para
causar un desbordamiento de búfer a la hora de que el navegador gestione
una imagen especialmente preparada a tales efectos. La explotación
exitosa de éste problema podría permitir la ejecución de código
arbitrario. Otro error ha sido documentado, en este caso en el procesado
de secuencias Unicode con atributo “zero-width non-joiner”, que podrían
corromper la pila y ocasionar el colapso de la aplicación.
El tercer problema de reciente aparición es un error en el procesado de
cabeceras a través de “XMLHttpRequest”, que podría ser aprovechada por
usuarios maliciosos para inyectar peticiones no legítimas vía HTTP. El
cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM
a través de un control XBL.
Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y
permanecer atentos a versiones posteriores, que podrían ser igualmente
inminentes. Debido a las interrelaciones y el carácter de las
vulnerabilidades, la recomendación de actualización es general,
independientemente de si se usa Windows o derivados de UNIX como plataforma.
Mozilla Suite
Todos los usuarios deben actualizar a la versión 1.7.12, que corrige
diversos problemas de seguridad, de carácter crítico, que podrían
facilitar, de un modo remoto, el salto de restricciones de seguridad, la
manipulación de datos y eventualmente, ganar acceso al sistema.
Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12
shernando@hispasec.com
Más información:
Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow
Vulnerability
http://www.securityfocus.com/bid/14784
Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability
http://www.securityfocus.com/bid/14888
Mozilla Suite, Firefox And Thunderbird Multiple Vulnerabilities
http://www.securityfocus.com/bid/14242
Multiple Browser Weak Authentication Mechanism Vulnerability
http://www.securityfocus.com/bid/14325
Deja un comentario