Rynho Zeros Web

Publicidad

Mozilla Suite y Mozilla Firefox son afectados por un error en el modo en que Firefox procesa el contenido XUL.

XUL (eXtensible User-Interface Language), desarrollado por Mozilla y Netscape, consiste en una serie de marcadores XML que permiten el intercambio de datos de la interfase de usuario entre distintas plataformas operativas.

Si una página web maliciosa puede engañar al usuario para que arrastre un objeto, es posible la carga de contenido XUL malicioso.

La vulnerabilidad es producida por una incorrecta validación, que ocasiona que el script sea cargado con privilegios elevados.

Esto puede ser aprovechado por un atacante para instalar en el inicio, scripts XUL que se ejecutarán con privilegios altos.

Se ha proporcionado una prueba de concepto en Internet, por lo que las probabilidades de la aparición de un exploit de esta vulnerabilidad es relativamente alto.

Software vulnerable

- Mozilla Browser 1.0 RC2
- Mozilla Browser 1.0 RC1
- Mozilla Browser 1.0
- Mozilla Browser 1.0.1
- Mozilla Browser 1.0.2
- Mozilla Browser 1.1 Beta
- Mozilla Browser 1.1 Alpha
- Mozilla Browser 1.1
- Mozilla Browser 1.2 Beta
- Mozilla Browser 1.2 Alpha
- Mozilla Browser 1.2
- Mozilla Browser 1.2.1
- Mozilla Browser 1.3
- Mozilla Browser 1.3.1
- Mozilla Browser 1.4 b
- Mozilla Browser 1.4 a
- Mozilla Browser 1.4
- Mozilla Browser 1.4.1
- Mozilla Browser 1.4.2
- Mozilla Browser 1.5
- Mozilla Browser 1.5.1
- Mozilla Browser 1.6
- Mozilla Browser 1.7 rc3
- Mozilla Browser 1.7 rc2
- Mozilla Browser 1.7 rc1
- Mozilla Browser 1.7 beta
- Mozilla Browser 1.7 alpha
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1

Software NO vulnerable

- Mozilla Browser 1.7.6
- Mozilla Firefox 1.0.2

Solución

Actualizarse a las versiones no vulnerables, desde los siguientes enlaces:

Mozilla Browser Suite 1.7.6
http://www.mozilla-europe.org/es/products/mozilla1x/

Mozilla Firefox 1.0.2
http://www.mozilla-europe.org/es/products/

Créditos:

Michael Krax

Referencias:

Este fallo ha sido asignado como CAN-2005-0401 por el “Common Vulnerabilities and Exposures project” (cve.mitre.org).

Identificado en BugTraq como ID 12885

Firescrolling 2
http://www.mikx.de/?p=12

FEDORA-2005-246: Fedora Core 3 – firefox (RedHat)
http://www.securityfocus.com/advisories/8275

FEDORA-2005-249: mozilla (RedHat)
http://www.securityfocus.com/advisories/8281

FEDORA-2005-252: devhelp (RedHat)
http://www.securityfocus.com/advisories/8282

FEDORA-2005-254: epiphany (RedHat)
http://www.securityfocus.com/advisories/8283

FEDORA-2005-255: evolution (RedHat)
http://www.securityfocus.com/advisories/8284

Firefox Release Notes (Mozilla)
http://www.mozilla.org/products/firefox/releases/

Mozilla Foundation Security Advisory 2005-32
Drag and drop loading (Mozilla)
http://www.mozilla.org/security/announce/mfsa2005-32.html

(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com

Publicidad

Otros articulos que te pueden interesar

• Vulnerabilidad en proceso de imágenes GIF en Mozilla
• Manejo incorrecto de cookies en múltiples navegadores
• Error de filtrado de scripts en múltiples navegadores
• Corrupción de memoria en Firefox y otros navegadores
• Revelación de información en múltiples navegadores