Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Mozilla Firefox habilita permisos de escritura
 
VSantivirus No. 1533 Año 8, viernes 17 de setiembre de 2004

Mozilla Firefox habilita permisos de escritura
http://www.vsantivirus.com/vul-firefox-160904.htm

Por Angela Ruiz
angela@videosoft.net.uy


Se ha reportado que Mozilla Firefox para Linux, puede ser susceptible a una vulnerabilidad por incorrecto uso de los permisos asignados a sus archivos.

El problema ha sido comprobado en la versión publicada por Mozilla. Si el navegador es instalado por el software administrador de paquetes contenido en la mayoría de las distribuciones de Linux, esta vulnerabilidad no suele presentarse.

El fallo permite a un atacante con acceso local interactivo a las computadoras que hayan instalado Firefox, sobrescribir archivos binarios y scripts usados por Firefox. Esto también habilita el uso de scripts y la ejecución de código en el contexto del usuario que esté ejecutando el paquete afectado.

Si este método es usado por un superusuario para instalar una versión "system-wide" del navegador, entonces los archivos raíz del sistema tendrán permisos de escritura para todo el mundo, permitiendo la ejecución de código en el contexto de cualquier usuario que utilice el paquete afectado.

Es vulnerable la instalación descargada de Mozilla.org para las versiones 0.9.x de Firefox para Linux.

No se requiere ningún exploit para aprovecharse de este fallo.

Cómo solución provisoria, se sugiere ejecutar el siguiente comando en el directorio donde Firefox ha sido instalado, sin embargo, no se ha comprobado esto en todos los escenarios:

file [directorio] -print0 | xargs -0 chmod g-w,o-w

Esto puede remover en forma recursiva todos los permisos de escritura para archivos y directorios.

El fabricante no ha proporcionando parches para esta vulnerabilidad a la fecha de este artículo.


Productos vulnerables

Mozilla Firefox 0.9 rc para Linux
Mozilla Firefox 0.9 para Linux
Mozilla Firefox 0.9.1 para Linux
Mozilla Firefox 0.9.2 para Linux
Mozilla Firefox 0.9.3 para Linux


Créditos: Max <spamhole@gmx.at>


Referencias:

Insecure file permissions in the Firefox browser for Linux >= v0.9
http://www.securityfocus.com/archive/1/375016

Mozilla Firefox Home Page
http://www.mozilla.org/products/firefox/




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS