Cuaderno de OsCaR :: inSiD3

Se han descubierto seis vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un tacante para eludir restricciones de seguridad, causar denegaciones de servicio (DDoS) o tomar un control total de una máquina afectada.

Los productos afectados por estas vulnerabilidades son:

Mozilla Firefox anterior a 2.0.0.4.
Mozilla Firefox anterior a 1.5.0.12.
Mozilla SeaMonkey anterior a 1.0.9.
Mozilla SeaMonkey anterior a 1.1.2.
Mozilla Thunderbird anterior a 2.0.0.4.
Mozilla Thunderbird anterior a 1.5.0.12.

Por tanto, se recomienda actualizar estos productos.

Los errores y vulnerabilidades son:

* Un error de corrupción de memoria en JavaScript a la hora de comprobar datos malformados. Un atacante podría aprovechar esto para ejecutar código arbitrario o causar una denegación de servicio.

* Un error en la característica de autocompletado a la hora de procesar datos malformados. Un atacante podría aprovechar esto para consumir toda la memoria del sistema y causar una denegación de servicio.

* Un error en la comprobación de los datos de entrada a la hora de procesar nombres y rutas de cookies. Un atacante podría aprovechar esto para provocar una denegación de servicio a través de una web especialmente manipulada.

* Un error en la autenticación APOP a la hora de procesar las respuestas a las solicitudes de autenticación. Un atacante podría aprovechar esto para revelar ciertas credenciales de usuario a través de dar ciertas respuestas a las peticiones de autenticación del servidor APOP.

* Un error en la función nsEventReceiverSH::AddEventListenerHelper. Un atacante podría aprovechar esto para modificar y acceder a datos locales del sistema afectado desde una página remota engañando al usuario para que visitase un sitio especialmente manipulado.

* Un error en el manejo de popups XUL. Un atacante podría aprovechar esto para modificar o esconder partes del navegador tales como la barra de navegación, etc.

:: Fuente: Hispasec