Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mozilla: Carga de scripts XUL con privilegios elevados
 
VSantivirus No. 1721 Año 9, jueves 24 de marzo de 2005

Mozilla: Carga de scripts XUL con privilegios elevados
http://www.vsantivirus.com/vul-bugtraq-12885.htm

Por Angela Ruiz
angela@videosoft.net.uy


Mozilla Suite y Mozilla Firefox son afectados por un error en el modo en que Firefox procesa el contenido XUL.

XUL (eXtensible User-Interface Language), desarrollado por Mozilla y Netscape, consiste en una serie de marcadores XML que permiten el intercambio de datos de la interfase de usuario entre distintas plataformas operativas.

Si una página web maliciosa puede engañar al usuario para que arrastre un objeto, es posible la carga de contenido XUL malicioso.

La vulnerabilidad es producida por una incorrecta validación, que ocasiona que el script sea cargado con privilegios elevados.

Esto puede ser aprovechado por un atacante para instalar en el inicio, scripts XUL que se ejecutarán con privilegios altos.

Se ha proporcionado una prueba de concepto en Internet, por lo que las probabilidades de la aparición de un exploit de esta vulnerabilidad es relativamente alto.


Software vulnerable

- Mozilla Browser 1.0 RC2
- Mozilla Browser 1.0 RC1
- Mozilla Browser 1.0
- Mozilla Browser 1.0.1
- Mozilla Browser 1.0.2
- Mozilla Browser 1.1 Beta
- Mozilla Browser 1.1 Alpha
- Mozilla Browser 1.1
- Mozilla Browser 1.2 Beta
- Mozilla Browser 1.2 Alpha
- Mozilla Browser 1.2
- Mozilla Browser 1.2.1
- Mozilla Browser 1.3
- Mozilla Browser 1.3.1
- Mozilla Browser 1.4 b
- Mozilla Browser 1.4 a
- Mozilla Browser 1.4
- Mozilla Browser 1.4.1
- Mozilla Browser 1.4.2
- Mozilla Browser 1.5
- Mozilla Browser 1.5.1
- Mozilla Browser 1.6
- Mozilla Browser 1.7 rc3
- Mozilla Browser 1.7 rc2
- Mozilla Browser 1.7 rc1
- Mozilla Browser 1.7 beta
- Mozilla Browser 1.7 alpha
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1


Software NO vulnerable

- Mozilla Browser 1.7.6
- Mozilla Firefox 1.0.2


Solución

Actualizarse a las versiones no vulnerables, desde los siguientes enlaces:


Mozilla Browser Suite 1.7.6
http://www.mozilla-europe.org/es/products/mozilla1x/

Mozilla Firefox 1.0.2
http://www.mozilla-europe.org/es/products/


Créditos:

Michael Krax


Referencias:

Este fallo ha sido asignado como CAN-2005-0401 por el "Common Vulnerabilities and Exposures project" (cve.mitre.org).

Identificado en BugTraq como ID 12885

Referencia en Secunia: SA14684
Referencia en Secunia: SA14654


Firescrolling 2
http://www.mikx.de/?p=12

FEDORA-2005-246: Fedora Core 3 - firefox (RedHat)
http://www.securityfocus.com/advisories/8275

FEDORA-2005-249: mozilla (RedHat)
http://www.securityfocus.com/advisories/8281

FEDORA-2005-252: devhelp (RedHat)
http://www.securityfocus.com/advisories/8282

FEDORA-2005-254: epiphany (RedHat)
http://www.securityfocus.com/advisories/8283

FEDORA-2005-255: evolution (RedHat)
http://www.securityfocus.com/advisories/8284

Firefox Release Notes (Mozilla)
http://www.mozilla.org/products/firefox/releases/

Mozilla Foundation Security Advisory 2005-32
Drag and drop loading (Mozilla)
http://www.mozilla.org/security/announce/mfsa2005-32.html

Mozilla Security Bypass and Buffer Overflow Vulnerabilities
http://secunia.com/advisories/14684/

Mozilla Firefox Three Vulnerabilities
http://secunia.com/advisories/14654/


Ultima actualización: 25/03/05 06:22 -0200



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS