Ejecución de código javascript en Thunderbird

Se ha confirmado la existencia de una vulnerabilidad en la forma en
que Thunderbird interpreta los scripts de javascript, y que puede
permitir a atacantes remotos ejecutar código script o provocar la
caída del navegador.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Mientras que
Firefox es el navegador web del proyecto Mozilla, Thunderbird es el
cliente de correo y RSS.

El motor de interpretación de WYSIWYG de Thunderbird filtra de forma
inadecuada los scripts de javascript. Es posible escribir javascript
en el atributo SRC de etiquetas IFRAME. Esto puede ejecutarse cuando
el correo es editado (por ejemplo respondiendo a un mensaje) incluso si
javascript está deshabilitado en las preferencias.

Si se explota el error puede revelar información sensible o provocar
la parada inesperada del navegador. Se han publicado scripts de
demostración como prueba de concepto.

Se recomienda actualizar a la versión 1.5
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/1.5/

Más información:

Mozilla Thunderbird : Remote Code Execution & Denial of Service
http://www.sysdream.com/article.php?story_id=230&section_id=78

Acerca de Hispasec

Hispasec Ha escrito 6987 publicaciones.

• View all posts by Hispasec →
• Blog