|
VSantivirus No. 1464 Año 8, viernes 9 de julio de 2004
Mozilla vulnerable al uso malicioso de "shell:"
http://www.vsantivirus.com/vul-mozilla-shell.htm
Por Angela Ruiz
angela@videosoft.net.uy
Secunia advierte de un fallo en Mozilla, Mozilla Firefox, y Mozilla Thunderbird, que puede permitir a sitios maliciosos el uso de la función "shell:" de Windows. Esto no afecta a usuarios de Mozilla bajo otros sistemas operativos.
La vulnerabilidad fue reportada el 7 de julio de 2004 por Joshua Perrymon en una lista pública de seguridad, y reparada rápidamente por el equipo de Mozilla.
El problema se produce solo bajo Windows XP, al no restringir Mozilla el uso del URI "shell:".
Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.).
El URI "shell:", permite que un sitio invoque varios programas asociados con extensiones específicas. Aunque el impacto del fallo está restringido porque no es posible pasar parámetros a los nombres de archivos, este tipo de error podría permitir la ejecución de código maligno, si se combina con otras vulnerabilidades.
Por ejemplo, Secunia informa que podría usarse para explotar un desbordamiento de búfer en GRPCONV.EXE, el conversor de grupos para el Administrador de programas de Windows, asociado por defecto a la extensión .GRP. Sin embargo, sólo es posible el uso de caracteres unicode, lo que dificulta su explotación exitosa.
De todos modos el error en GRPCONV no necesariamente debe ser clasificado como una vulnerabilidad, ya que este tipo de programa no está diseñado para ser lanzado en un ambiente hostil, y tampoco es útil para un sitio web o el propio navegador.
La vulnerabilidad afecta a Mozilla, Mozilla Firefox, y Mozilla Thunderbird en Microsoft Windows XP, debido a la manera en que es tratado el URI "shell:" en esta plataforma. Al respecto, otros navegadores, incluido el Internet Explorer, también podrían permitir su uso malicioso (Nota: Para deshabilitar esta opción en Windows, vea nuestro artículo "Shell.Application, burla el parche de Microsoft",
http://www.vsantivirus.com/vul-shellapplication.htm)
Versiones de Mozilla vulnerables (solo bajo Windows XP):
Mozilla 0.x
Mozilla 1.0
Mozilla 1.1
Mozilla 1.2
Mozilla 1.3
Mozilla 1.4
Mozilla 1.5
Mozilla 1.6
Mozilla Firefox 0.x
Mozilla Thunderbird 0.x
La solución está disponible como una descarga pequeña que solo modifica la configuración, incapacitando el uso de "shell:", o como una versión actualizada completa.
Descarga del parche pequeño:
http://update.mozilla.org/extensions/moreinfo.php?id=
154&vid=261&category=&page=releases
Descarga de actualizaciones:
Mozilla 1.7.1
http://ftp.mozilla.org/pub/mozilla.org/mozilla/releases
/mozilla1.7.1/mozilla-win32-1.7.1-installer.exe
Mozilla Firefox 0.9.2
http://ftp.mozilla.org/pub/mozilla.org/firefox/releases
/0.9.2/FirefoxSetup-0.9.2.exe
Mozilla Thunderbird 0.7.2
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases
/0.7.2/ThunderbirdSetup-0.7.2.exe
Más información en "How to update" del siguiente enlace:
http://www.mozilla.org/security/shell.html
Créditos: Joshua Perrymon
Investigación adicional: Andreas Sandblad
Aviso original:
What Mozilla users should know about
the shell: protocol security issue
http://www.mozilla.org/security/shell.html
Referencias:
Mozilla Fails to Restrict Access to "shell:"
http://secunia.com/advisories/12027/
Relacionados:
Shell.Application, burla el parche de Microsoft
http://www.vsantivirus.com/vul-shellapplication.htm
¿Qué es Unicode?
http://www.vsantivirus.com/unicode.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|