Coordinación de Seguridad de la Información

Coordinación de Seguridad de la Información

Información y servicios de seguridad en cómputo

1 2 3 4 5 6 7

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Vulnerabilidad de Seguridad UNAM-CERT-2006-105 Múltiples vulnerabilidades en Mozilla Firefox

Múltiples vulnerabilidades han sido descubiertas en Mozilla firefox que pueden permitir varios ataques.

  • Fecha de Liberación: 22-Sep-2006
  • Ultima Revisión: 22-Sep-2006
  • Fuente: Mozilla Foundation Security Advisory 2006-57
  • CVE ID: CVE-2006-4253 CVE-2006-4339 CVE-2006-4340 CVE-2006-4565 CVE-2006-4566 CVE-2006-4567 CVE-2006-4568 CVE-2006-4571
  • Riesgo Muy alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Buffer overflow

Sistemas Afectados

Firefox web browser 1.5.0.7
  1. Descripción

    Han sido descubiertas múltiples vulnerabilidades, que Mozilla firefox ha reportado, las cuales pueden ser explotadas por personas maliciosas para conducir ataques de hombre en medio, spoofing, y cross site scripting, y comprometer un sistema de usuario.

    1) Un error en el manejo de expresiones regulares de JavaScript contiene un cuantificador mínimo, que puede ser explotado para causar un buffer overflow.

    El éxito de esta explotación puede permitir ejecución de código arbitrario.

    2) El mecanismo de actualización que utiliza SSL para la comunicación segura. El problema es que los usuarios pueden haber aceptado un certificado self-signed sin verificar al visitar un sitio web, esto puede permitir a atacantes redireccionar las el chequeo de actualizaciones hacia un sitio web malicioso y provocar un ataque de hombre en medio.

    3) Algunos errores durante la muestra del texto que dependen del tiempo, pueden ser usados para corromper la memoria.

    El éxito de esta explotación puede permitir la ejecución de código arbitrario.

    4) Un error en la existencia de errores dentro de la verificación de ciertas firmas en la librería Network Security Services (NSS).

    5) Un error en el manejo de cross-domain puede ser explotado para inyectar código arbitrario HTML y código script en un sub-frame y otro sitio web vía llamadas “[Windows].frames[index].document.open()”

    6) Existe un error debido al bloqueo de ventanas emergentes abiertas desde la barra de estado vía la funcionalidad “blocked popups” que es abierta en un contexto incorrecto en ciertas situaciones. Esto se puede ser explotado para ejecutar el HTML arbitrario y el código de la escritura en la sesión del navegador de un usuario en contexto de un sitio Web arbitrario.

    7) Algunos errores en la corrupción de memoria no especificados pueden ser explotados para ejecutar código arbitrario.

  2. Impacto

    Los usuarios que no cuenten con esta actualización son vulnerables a posibles ataques:

    1.- Security Bypass

    2.- Cross Site Scripting

    3.- Spoofing

    4.- DoS

    5.- System access.

  3. Solución

    Actualizar a la versión 1.5.0.7 a través del sitio oficial.

    http://www.mozilla.com/firefox/

  4. Referencias

    http://secunia.com/advisories/21906/

    http://www.mozilla.org/security/announce/2006/mfsa2006-57.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-58.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-59.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-60.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-61.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-62.html

    http://www.mozilla.org/security/announce/2006/mfsa2006-64.html

    http://secunia.com/advisories/21513/

    http://secunia.com/advisories/21903/

    http://www.kb.cert.org/vuls/id/141528

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Roberto Sánchez Soledad (roberto dot sanchez at cert dot unam dot mx)
  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México AENOR LOGO FIRST LOGO Aviso legal |  Créditos |  Staff |  Acerca |  Contacto |  FTP |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT