Suplantación de sitios de confianza en MozillaMozilla, Mozilla Firefox, y Mozilla Thunderbird, pueden permitir que páginas Web maliciosas falsifiquen las propiedades de un sitio de confianza.
Un atacante podría explotar esto para falsificar la dirección (URI) y el contenido de un certificado SSL de un sitio de confianza.
Un URI (siglas de Identificador Universal de Recursos en inglés), es una sintaxis que permite el acceso a objetos disponibles en Internet, utilizando diferentes protocolos, como HTTP:, HTTPS:, etc.
SSL (Secure Socket Layer), es un protocolo que utiliza criptografía para cifrar los datos que se intercambian con un servidor seguro.
Este fallo, puede hacer que un sitio malicioso, tome las propiedades de un sitio de confianza, con la posibilidad de obtener de un usuario desprevenido, información crítica, o incluso realizar acciones delictivas (transacciones bancarias, uso de tarjeta de crédito, etc.)
No se requiere un exploit para tomar ventaja de esta vulnerabilidad, y se ha publicado una prueba de concepto con un simple código en JavaScript que lo demuestra.
Algunos vendedores han realizado avisos de alerta, pero aún no han actualizado sus productos (Avaya).
Otros, ya disponen de parches o actualizaciones (RedHat, Mozilla, Slackware, Mandrake Linux, SGI, Gentoo, etc.)
Software vulnerable:
- Avaya Network Routing
- Compaq Tru64 5.1 b PK4 (BL25), PK3(BL24)
- Compaq Tru64 5.1 a PK6(BL24)
- Gentoo Linux 1.4
- MandrakeSoft Linux Mandrake 9.2 y 9.2 amd64
- MandrakeSoft Linux Mandrake 10.0 y 10.0 AMD64
- Mozilla Browser 0.8 a 1.7.1
- Mozilla Firefox 0.8 a 0.9.2
- Mozilla Thunderbird 0.7 a 0.7.2
- SGI Advanced Linux Environment 3.0
No son vulnerables los siguientes productos:
- Mozilla Browser 1.7.2
- Mozilla Firefox 0.9.3
- Mozilla Thunderbird 0.7.3
Soluciones
En el caso de las versiones para Linux, se recomienda seguir las indicaciones de las diferentes distribuciones.
A los usuarios de Windows y Mac OS X, se sugiere instalar las versiones Mozilla Browser 1.7.2, Mozilla Firefox 0.9.3 o Mozilla Thunderbird 0.7.3 (o superiores).
Descargas de actualizaciones:
Mozilla Thunderbird:
http://www.mozilla.org/products/thunderbird/Mozilla Firefox:
http://www.mozilla.org/products/firefox/Mozilla Browser:
http://www.mozilla.org/products/mozilla1.x/Creditos: "E.Kellinis" <
[email protected] >
Referencias:
Advisory: 20040802-01-U:
SGI Advanced Linux Environment 3 Security Update #9
http://www.securityfocus.com/advisories/7070Advisory: GLSA 200408-22:
Mozilla, Firefox, Thunderbird: New releases fix vulnerabilities
http://www.securityfocus.com/advisories/7096Advisory: HPSBTU01063: SSRT4778 - rev.2
Mozilla Application Suite for HP Tru64 UNIX
http://www.securityfocus.com/advisories/7105Advisory: MDKSA-2004:082:
Updated mozilla packages fix multiple vulnerabilities
http://www.securityfocus.com/advisories/7068Advisory: SSA:2004-223-01: Mozilla
http://www.securityfocus.com/advisories/7059Mozilla Firefox Certificate Spoofing
http://www.securityfocus.com/archive/1/369953Re: Mozilla Firefox Certificate Spoofing
http://www.securityfocus.com/archive/1/370113Known Vulnerabilities in Mozilla
http://www.mozilla.org/projects/security/known-vulnerabilities.htmlMozilla Firefox Home Page
http://www.mozilla.org/products/firefox/Mozilla Homepage
http://www.mozilla.org/RHSA-2004:421-17 - Updated mozilla packages fix security issues
http://rhn.redhat.com/errata/RHSA-2004-421.htmlPublicado en:
http://www.vsantivirus.com/vul-mozilla-290804.htm