Abuso en los protocolos registrados por Mozilla

Abuso en los protocolos registrados por Mozilla
	VSantivirus No 2503 Año 11, jueves 26 de julio de 2007 Abuso en los protocolos registrados por Mozilla http://www.vsantivirus.com/abuso-uris-250707.htm Por Angela Ruiz angela@videosoft.net.uy Se ha reportado una nueva vulnerabilidad relacionada con el manejo de los URIs, que afecta a Firefox (la versión 2.0.0.5 incluida), entre otros productos de Mozilla. Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.). Mediante la utilización de comandos maliciosos, es posible invocar desde un simple enlace, la ejecución de un determinado código. Esto puede ser hecho también desde otro navegador, como Internet Explorer, si alguno de los productos vulnerables está instalado en el equipo (Firefox en este caso). En las últimas semanas se ha hablado bastante del tema. La última versión de Firefox (2.0.0.5), corrige algunas vulnerabilidades relacionadas con los URIs. También Thunderbird y SeaMonkey han sido actualizados al respecto. Esto ha generado cierta polémica, ya que en la mayoría de estos casos, las aguas están divididas, en relación a si el problema es del producto que registra en el registro los URIs necesarios para su funcionamiento (en este caso Firefox), o en el que permite la ejecución de código al interpretar un determinado URI (el caso de Internet Explorer). Mozilla ha reconocido en su momento el problema y lo ha solucionado en parte (ahora vemos que se reporta uno nuevo). Microsoft ha comentado que no es un problema de su software, ya que por una característica de diseño, el navegador hace lo que debe hacer. Es decir, cuando se hace clic en un URL se llama al programa encargado de manejar el protocolo pertinente, sea o no el propio programa de Microsoft. Tal vez lo que debería hacer es advertir que se va a ejecutar un programa diferente, como lo hacen otros productos. La pelea entre fanáticos de uno u otro programa, no lleva a nada, ya que el problema existe, sin importar el software que se prefiera. Por el momento, debemos mencionar este problema como una vulnerabilidad de Firefox, ya que la ejecución de código puede producirse por su presencia en el equipo, como lo demuestran las pruebas de concepto publicadas. Los URIs afectados por el momento (además de los mencionados días anteriores), son mailto: y telnet:. El primero puede ejecutar código por solo hacer clic en un enlace. El segundo, requiere cierta interacción con el usuario. Otros URIs afectados: news: y nntp: De todos modos, hay ciertas limitaciones para ataques maliciosos que resulten exitosos, utilizando estas debilidades en el diseño del software involucrado. Otros productos (por ejemplo Trillian, que corrigió una vulnerabilidad similar hace unos días), que registran protocolos propios, también son afectados. Más información: Remote Command Exec (FireFox 2.0.0.5 et al) http://securityvulns.com/Rdocument607.html More URI Handling Vulnerabilites (FireFox Remote Command Execution) http://securityvulns.com/Rdocument606.html Mozilla protocol abuse http://larholm.com/2007/07/25/mozilla-protocol-abuse/ Relacionados: Trillian 3.1.7.0 resuelve vulnerabilidad crítica http://www.vsantivirus.com/vul-trillian-200707.htm Firefox 2.0.0.5 resuelve ocho vulnerabilidades http://www.vsantivirus.com/firefox-170707.htm Thunderbird 2.0.0.5 corrige dos vulnerabilidades http://www.vsantivirus.com/thunderbird-190707.htm Vulnerabilidad en Firefox explotada desde IE http://www.vsantivirus.com/vul-firefox-cve-2007-3670.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com