Ejecución remota de código en Firefox 1.0.3

Ejecución remota de código en Firefox 1.0.3
	VSantivirus No. 1766 Año 9, domingo 8 de mayo de 2005 Ejecución remota de código en Firefox 1.0.3 http://www.vsantivirus.com/vul-firefox-070505.htm Por Angela Ruiz angela@videosoft.net.uy Mozilla Firefox es propenso a una vulnerabilidad de la seguridad, que podría tener como resultado la ejecución de código arbitrario sin requerir la interacción del usuario. El análisis inicial de la vulnerabilidad, revela que la misma puede llevar al ocultamiento de información en la barra de estado del navegador, y un script arbitrario puede obtener privilegios de 'UniversalXPConnect' (permite ejecutar o instalar programas). Se ha observado que este asunto podría ser explotado para obtener de forma remota acciones con privilegios en el equipo vulnerable, en el contexto del usuario que ejecuta el navegador afectado. La vulnerabilidad afecta todas las versiones de Mozilla Firefox hasta la 1.0.3 inclusive. Se han publicado exploits para esta vulnerabilidad, por lo que el riesgo para quienes utilizan Firefox es grande. Los siguientes ejemplos, publicados en Bugtraq, han sido modificados para quitar la funcionalidad potencialmente maliciosa del ejemplo original. www.securityfocus.com/data/vulnerabilities/exploits/yourinfo.zip www.securityfocus.com/data/vulnerabilities/exploits/cheese.txt Software vulnerable: - Mozilla Firefox Preview Release - Mozilla Firefox 0.8 - Mozilla Firefox 0.9 rc - Mozilla Firefox 0.9 - Mozilla Firefox 0.9.1 - Mozilla Firefox 0.9.2 - Mozilla Firefox 0.9.3 - Mozilla Firefox 0.10 - Mozilla Firefox 0.10.1 - Mozilla Firefox 1.0 - Mozilla Firefox 1.0.1 - Mozilla Firefox 1.0.2 - Mozilla Firefox 1.0.3 Soluciones Actualizarse a la versión no vulnerable, desde el siguiente enlace: Mozilla Firefox 1.0.4 o superior http://www.mozilla-europe.org/es/products/ Se recomienda deshabilitar JavaScript, y remover la opción "Permitir que los sitios web instalen software": - En Firefox, seleccionar el menú de Herramientas, Opciones, Características Web (Web Features), desmarcar la casilla "Habilitar JavaScript" (Enable JavaScript). - En Firefox, seleccionar el menú de Herramientas, Opciones, Características Web (Web Features). Hacer clic en "Sitios permitidos" (Allowed Sites) al costado de "Permitir que los sitios web instalen software" (Allow web sites to install software). Hacer clic en "Remover todos los sitios" (Remove All Sites). Referencias: - Identificado en BugTraq como ID 13544 http://www.securityfocus.com/bid/13544/ firefox 1.0.3 spoof+auto dl http://www.securityfocus.com/archive/1/397747 Mozilla Firefox Install Method Remote Arbitrary Code Execution Vulnerability http://www.securityfocus.com/bid/13544 - Referencia en Secunia: SA15292 Mozilla Firefox Two Vulnerabilities http://secunia.com/advisories/15292/ Relacionados Firefox 1.0.4 corrige importantes vulnerabilidades http://www.vsantivirus.com/firefox-104.htm Mozilla Suite 1.7.8 corrige graves vulnerabilidades http://www.vsantivirus.com/mozilla-178.htm Múltiples vulnerabilidades en Mozilla y Firefox (5/05) http://www.vsantivirus.com/vul-mozilla-120505.htm Mozilla Foundation Security Advisory 2005-42 Code execution via javascript: IconURL http://www.mozilla.org/security/announce/mfsa2005-42.html Grave vulnerabilidad en extensiones de Mozilla Firefox http://www.vsantivirus.com/vul-firefox-080505.htm Firefox http://www.mozilla.org/products/firefox/ http://www.mozilla-europe.org/es/products/firefox/ Mozilla http://www.mozilla.org/products/mozilla1.x/ http://www.mozilla-europe.org/es/products/mozilla1x/ Créditos: john smith <edward11@postmaster.co.uk> Actualizado: 12/05/05 (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com