Fuga de información en credenciales de FirefoxFirefox es afectado por una vulnerabilidad que permite el envío de las credenciales de autenticación a través de la red en formato texto plano (o sea, sin ninguna clase de encriptación).
Por defecto, el navegador selecciona la autenticación básica, incluso si otros esquemas de autenticación tales como DIGEST o NTLM están disponibles en el servidor.
Se ha confirmado que Mozilla Firefox 1.0.4 y 1.0.5, ejecutándose bajo Windows, son vulnerables. Otras versiones y plataformas diferentes, también podrían estar afectadas.
Se trata de una vulnerabilidad del tipo "fuga de información", y no existe una forma conocida de explotarla.
Software vulnerable:
- Mozilla Firefox 1.0.4 (confirmado)
- Mozilla Firefox 1.0.5 (confirmado)
- Mozilla Firefox 1.0.6 (probable)
También podrían ser vulnerables versiones anteriores.
Solución:
No se conocen soluciones al problema.
En el momento de publicar este boletín, el vendedor acaba de liberar la versión 1.0.6 de Firefox, sin embargo se ignora si la misma soluciona este problema.
La versión 1.0.6 resuelve algunos problemas de regresión a vulnerabilidades anteriores, y por ello su publicación a pocos días de haberse publicado la 1.0.5. Sin embargo, no se hace referencia alguna a la vulnerabilidad aquí comentada.
Más información:
Firefox 1.0.6 resuelve regresión de versión 1.0.5
http://www.vsantivirus.com/firefox-106.htmReferencias:
Mozilla Firefox Weak Authentication Mechanism Vulnerability
http://www.securityfocus.com/bid/14325Mozilla Firefox Home Page (Mozilla)
http://www.mozilla.org/products/firefox/Mozilla cleartext credentials leak bug report to excuse myself (3APA3A <
[email protected]>)
http://www.securityfocus.com/archive/1/405666Mozilla Firefox (sitio en español)
http://www.mozilla-europe.org/es/products/Créditos:
ZARAZA <
[email protected]>
Fuente:
http://www.vsantivirus.com/vul-firefox-200705.htm