Firefox 2.0.0.6 resuelve el problema de los URIS

Publicado: agosto 1, 2007 en Articulos


Mozilla publicó la versión 2.0.0.6 de Firefox, la cuál corrige al menos 2 vulnerabilidades que pueden poner en peligro al usuario. Una de estas vulnerabilidades, está relacionada con el tema del manejo de los URIs, que tanto ha dado que hablar.

En concreto, Mozilla corrige en Firefox 2.0.0.6, Thunderbird 2.0.0.6, Thunderbird 1.5.0.13 y SeaMonkey 1.1.4, un problema con el filtrado de ciertos caracteres durante el manejo de determinados URIS. (<em>NOTA: Al momento de esta publicación -31/07/07-, no están disponibles las versiones de Thunderbird 2.0.0.6, Thunderbird 1.5.0.13 ni SeaMonkey 1.1.4)

Cómo ya lo hemos explicado, un URI (o Uniform Resource Identifier), es una cadena de caracteres utilizada para identificar una ubicación, recurso o protocolo.

Mozilla Firefox (cómo otros programas), “pasa” algunas URIs a otras aplicaciones que han sido registradas para manejarlos. El problema es que Firefox no filtra los datos pasados en ciertas URIs. Un atacante puede entonces construir un enlace malicioso, que Firefox envía al programa registrado para manejar dicha URI.

El espectro de posibilidades de este fallo, es limitado, ya que el peligro reside en los argumentos de líneas de comandos soportados por el programa específico que reciba esos datos. Sin embargo, abre la posibilidad de incluir otros escenarios que involucren otras vulnerabilidades y malwares.

Un problema similar, ocurre cuando se ejecuta Firefox en Windows XP con Internet Explorer 7. Ciertos protocolos conocidos (como mailto:), pueden ejecutar ciertos programas no relacionados con el protocolo en si, de acuerdo a la extensión del archivo involucrado. Sin embargo, es necesario conocer la ubicación de dicho programa previamente. El exploit puede incluir una limitada cantidad de argumentos.

De todos modos, aún cuando Firefox y Thunderbird 2.0.0.6 también corrigen este problema, todavía es posible lanzar ciertos tipos de archivos. Ello ocurre porque ésta es una característica de las APIs del shell de Windows, y por lo tanto otras aplicaciones habilitadas para acceder a Internet pueden llegar a pasar URIs maliciosas al sistema.

La segunda vulnerabilidad solucionada, permitía obtener mayores privilegios a un atacante, y fue introducida en la versión 2.0.0.5 de Firefox, al intentar solucionar un problema que permitía la inyección de contenido en un frame

Última versión NO vulnerable:

– Firefox 2.0.0.6

Descarga

Fuente

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s