Categories: SeguridadVirus

Múltiples vulnerabilidades críticas en productos Mozilla

Alertas

Los productos sobre los que se han emitido alertas son Mozilla Firefox, el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla Suite, la suite de comunicaciones personal. Casi todos los problemas son parecidos y debidos a causas idénticas, ya que los productos citados comparten funcionalidad al emanar de código fuente muy parecido, idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de fallos anteriores, que no fueron convenientemente abstraídos al problema raíz.

El compendio de problemáticas y el estado actual de las mismas es el siguiente:

Mozilla Thunderbird

Un grave problema de seguridad podría comprometer seriamente los equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente se da el problema en entornos UNIX o derivados. Los usuarios de Microsoft Windows pueden respirar tranquilos, si bien se prevé una inminente actualización para el cliente de correo y noticias, que debería ser aprovechada para sincronizar versiones, independientemente de la plataforma que se emplee.

El problema radica en que el script de shell empleado para lanzar Mozilla Thunderbird podría facilitar la ejecución de comandos arbitrarios, ya que es factible construir una URL maliciosa que contenga comandos adicionales externos, contenidos entre barras invertidas, que son parseados y ejecutados sin más comprobaciones. En sistemas donde el gestor de correo por defecto sea Thunderbird, un atacante podría suministrar a la víctima enlaces maliciosos, que al ser pulsados, invocarían al cliente de correo. Si a esa URL se le añaden comandos arbitrarios, éstos serían irremediablemente ejecutados.

Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la aplicación hasta la aparición de la versión que corrija el problema.

Mozilla Firefox

Se ha liberado recientemente la versión 1.0.7 que corrige dos importantes fallos de seguridad, entre los que está la posibilidad análoga a la descrita para Thunderbird, consistente en la factibilidad de ejecutar comandos arbitrarios lanzando las aplicaciones desde la shell. Un ejemplo de secuencia en la shell sería el siguiente:

sergio@hispasec:~$ firefox http://local`find`host (ejecución con éxito del comando “find”)

Otro problema resuelto es la conocida vulnerabilidad que provoca el colapso del navegador cuando se tratan URLs con el carácter 0xAD en su nombre de dominio 0xAD. También hay una corrección para scripts PAC (Proxy Auto-Config) que induciría al colapso de la aplicación.

Éstos problemas quedan resueltos con la versión de actualización 1.0.7, y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental Firefox 1.5 Beta 1 (Deer Park Alpha 2)

De todos modos, hay que estar atento a ciertos problemas, recientemente revisados, y que teóricamente se fueron corrigiendo en las versiones 1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener efectos colaterales al no estar resueltos. Éstos problemas, recordemos, son cuatro, y están siendo revisados o actualizados documentalmente:

Un error en el procesamiento de imágenes XBM podría ser empleado para causar un desbordamiento de búfer a la hora de que el navegador gestione una imagen especialmente preparada a tales efectos. La explotación exitosa de éste problema podría permitir la ejecución de código arbitrario. Otro error ha sido documentado, en este caso en el procesado de secuencias Unicode con atributo “zero-width non-joiner”, que podrían corromper la pila y ocasionar el colapso de la aplicación.

El tercer problema de reciente aparición es un error en el procesado de cabeceras a través de “XMLHttpRequest”, que podría ser aprovechada por usuarios maliciosos para inyectar peticiones no legítimas vía HTTP. El cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM a través de un control XBL.

Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y permanecer atentos a versiones posteriores, que podrían ser igualmente inminentes. Debido a las interrelaciones y el carácter de las vulnerabilidades, la recomendación de actualización es general, independientemente de si se usa Windows o derivados de UNIX como plataforma.

Mozilla Suite

Todos los usuarios deben actualizar a la versión 1.7.12, que corrige diversos problemas de seguridad, de carácter crítico, que podrían facilitar, de un modo remoto, el salto de restricciones de seguridad, la manipulación de datos y eventualmente, ganar acceso al sistema.

Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12

Redacción

Recent Posts

Google paga 5.000 millones de dólares para resolver una demanda colectiva

Los usuarios denunciaban que la compañía los había rastreado incluso cuando usaban el modo privado…

11 meses ago

Las pymes valencianas pueden optar a ayudas de 5,5 millones de euros por proyectos de I+D

El Instituto Valenciano de Competitividad Empresarial financiará aquellas iniciativas que puedan solucionar incertidumbres científicas o…

11 meses ago

La guerra entre Israel y Gaza no acobarda a los inversores extranjeros de startups

Solo en el cuarto trimestre las empresas emergentes del país han levantado 1.500 millones de…

11 meses ago

Navarra ya cuenta con más de 80 startups

La región tiene 13 scaleups y destaca por sus empresas emergentes de salud y agrotech.

11 meses ago

Las startups valencianas progresaron adecuadamente en 2023

Valencia ha atraído en el primer semestre del año 30 millones de euros de inversión…

11 meses ago

El New York Times acusa a Open AI y Microsoft de infringir sus derechos de autor

El diario estadounidense demanda a las dos compañías tecnológicas por haber usado sus contenidos para…

11 meses ago