Múltiples vulnerabilidades en MozillaSegún informa Secunia, Mozilla.org, ha liberado detalles acerca de algunas viejas vulnerabilidades descubiertas en sus productos Mozilla, Mozilla Firefox, y Thunderbird, todas ellas críticas.
Los fallos pueden ser explotados por personas maliciosas para realizar ataques basados en spoofing (falsificación de direcciones), comprometer un sistema vulnerable, o causar una denegación de servicio (DoS).
Algunas de las vulnerabilidades conocidas:
1. Servidores POP3 maliciosos, pueden causar en Mozilla, un desbordamiento del área de memoria dinámica de los programas (HEAP overflow), obteniendo acceso al sistema.
2. Una página maliciosa puede aparecer como encriptada y presentar el certificado de otro sitio para autenticarse.
3. Mozilla no comprueba si las credenciales almacenadas deben ser utilizadas para una conexión HTTPS o HTTP. Potencialmente esto puede permitir que las contraseñas puedan ser enviadas desencriptadas en una conexión HTTP (al contrario de una conexión HTTPS, que envía estos datos en forma encriptada como seguridad).
4. La certificación de nombres se hace insegura para nombres de dominio sin calificar (FQDN, Fully Qualified Domain Name), lo que puede ser utilizado en un ataque basado en spoofing (falsificación de la dirección IP de origen en los paquetes o mensajes enviados).
5. Sitios web maliciosos pueden interferir con las operaciones de otras ventanas y causar una denegación de servicio (la ventana de otro programa puede dejar de responder). Sin embargo, no es posible usar esto para alterar o leer alguna clase de datos del equipo afectado.
6. Los usuarios pueden ser engañados para que arrastren textos sobre controles de descarga no visibles, resultando en el robo de archivos locales desde ubicaciones conocidas.
7. La librería PNG (libpng) contiene una vulnerabilidad de lectura "out-of-bounds" (fuera de los parámetros establecidos), que puede ser explotada por un usuario malicioso para causar una denegación de servicio (DoS).
Otras viejas vulnerabilidades también han sido reportadas, todas ellas afectan a las versiones anteriores a las siguientes:
Mozilla 1.7
Firefox 0.9
Thunderbird 0.7
Todos estos agujeros fueron solucionados por Mozilla.org, sin embargo los detalles de estas vulnerabilidades, existentes desde hace tiempo, no habían sido revelados hasta ahora.
Para no ser afectado por estos fallos, actualice la versión de su software a cualquiera igual o superior a las indicadas (Mozilla 1.7 o superior, Firefox 0.9 o superior, Thunderbird 0.7 o superior).
Más información:
Mozilla Multiple Vulnerabilities
http://secunia.com/advisories/10856/Publicado en:http://www.vsantivirus.com/vul-mozilla-multiples.htm
