Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Acceso a documentos de otros usuarios en Mozilla
 
VSantivirus No. 1572 Año 8, martes 26 de octubre de 2004

Acceso a documentos de otros usuarios en Mozilla
http://www.vsantivirus.com/vul-mozilla-261004.htm

Por Angela Ruiz
angela@videosoft.net.uy


Ha sido reportado una vulnerabilidad que afecta a Mozilla Thunderbird (componente de correo y noticias) y Mozilla Firefox (navegador de Internet) cuando se ejecutan bajo Linux, y que permite que usuarios locales puedan acceder a información de otros usuarios.

La vulnerabilidad es causada por un manejo inapropiado de los permisos de los archivos descargados, al ser abiertos por aplicaciones externas.

Esto puede ser explotado para acceder a los archivos adjuntos o documentos de otros usuarios, a través de la ventana de descarga de estas aplicaciones.

Cuando se abre un archivo adjunto o un enlace incluido en un correo electrónico, Thunderbird pregunta al usuario a través de una ventana de diálogo, si desea grabarlo al disco o abrirlo con un programa por defecto.

Por ejemplo, si se recibe un documento PDF como adjunto, y se selecciona abrir, mientras el cuadro de diálogo permanece abierto, los permisos en el directorio de archivos temporales permiten la lectura y escritura de los mismos al usuario actual, y se borran cuando se cierra la ventana.

Pero si en cambio se selecciona abrir con el programa por defecto (XPDF en el caso de los PDF), al cerrar la ventana los permisos de lectura y escritura de los archivos afectados no solo quedan habilitados, sino que además adquieren permisos de lectura para todos los demás usuarios.

La vulnerabilidad reportada afecta las siguientes versiones de Mozilla bajo Linux:

- Mozilla 1.7 a 1.7.3.
- Firefox 0.9 a 1.0PR.
- Thunderbird 0.6 a 0.8.


Créditos: Martin (broadcast@ptraced.net)


Referencias:

Mozilla Thunderbird 0.8 / Firefox 0.9.3 temporary files (local)
http://broadcast.ptraced.net/advisories/008-firefox.thunderbird.txt

Bugzilla Bug 251297 - files in /tmp world readable (email attachments, helper app docs)
https://bugzilla.mozilla.org/show_bug.cgi?id=251297




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS