What is this? From this page you can use the Social Web links to save Vulnerabilidades en Mozilla to a social bookmarking site, or the E-mail form to send a link via e-mail.

Social Web

E-mail

E-mail It
February 04, 2005

Vulnerabilidades en Mozilla

Posted in: Software

Vimos en VSAntivirus una lista extensa de vulnerabilidades que afectan a diversos productos de Mozilla (nadie es perfecto). Recogimos las mas importantes para que estén informados:

  • Los navegadores Mozilla y Firefox son propensos a una vulnerabilidad que permite eludir el control de acceso al sistema. Esta vulnerabilidad puede ser explotada para revelar información relacionada con archivos del equipo del usuario afectado, por ejemplo, para revelar si existe o no un determinado archivo.
  • Utilizando JavaScript para automatizar un proceso de ingreso de datos críticos, un atacante remoto puede explotar esta vulnerabilidad para mostrar al usuario un sitio falso, haciéndole creer que se encuentra en uno verdadero.
  • Mozilla y Firefox poseen la funcionalidad de la combinación ALT + clic, que permite la descarga de archivos desde un enlace determinado, a la carpeta de descarga por defecto, sin que se muestren al usuario ventanas de diálogo. Un sitio malicioso podría explotar esta funcionalidad para descargar un archivo a la carpeta local por defecto, sin necesidad de ninguna interacción con el usuario.
  • Se ha reportado que Mozilla Thunderbird, responde erróneamente a una solicitud de una cookie contenida en un mensaje electrónico con formato HTML. Esta vulnerabilidad puede ser utilizada por un atacante remoto para rastrear los correos electrónicos de la víctima.
  • Mozilla Firefox es propenso a una vulnerabilidad que permite la ejecución local de código. La vulnerabilidad reside en la característica de marcador dinámico (livefeed bookmark). Se ha comprobado por ejemplo, que si se despliega “about:config” cuando el marcador dinámico es actualizado, puede producirse la ejecución arbitraria de código en el equipo afectado.
  • Se ha reportado que Mozilla Thunderbird no maneja correctamente un URI como “javascript:”. La aplicación afectada utiliza el manejador por defecto para “javascript:” cuando, es registrado en el sistema operativo. Este es un comportamiento erróneo que puede resultar en la exposición a otras vulnerabilidades latentes, debido a una falsa sensación de seguridad.

Existen pruebas de concepto para todas estas vulnerabilidades.

La buena noticia es que al actualizar Mozilla, Firefox y Thunderbird, vemos que todo esto está corregido. ¿Estás al dia?

Return to: Vulnerabilidades en Mozilla