Registrarse
Home
Foros
Miembros
Calendario
Normas
Ayuda

Foros de usuarios de openSUSE
Retroceder   ForoSUSE > Zona Técnica > Internet, Redes y Wireless


Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook

Respuesta
 
Herramientas Desplegado

Vulnerabilidad crítica en Netscape, Mozilla y Firefox
  #1  
Antiguo 11-sep-2005, 01:36
Avatar de chuzo
chuzo chuzo está desconectado
Miembro FOROSuSE
 
Fecha de Ingreso: 27-julio-2004
Ubicación: En un lugar de la mancha ...
Mensajes: 2.348
Agradecimientos: 0
Agradecido 1 Vez en 1 Mensaje
Poder de Credibilidad: 16
chuzo está en el buen camino
Exclamation Vulnerabilidad crítica en Netscape, Mozilla y Firefox

Una vulnerabilidad reportada como crítica ha sido identificada en los navegadores Netscape, Mozilla y Firefox, la cuál podría ser explotada por un atacante remoto para la ejecución arbitraria de comandos.

El problema se debe a un error de desbordamiento de búfer en la función "NormalizeIDN", cuando se procesan ciertas URIs especialmente modificadas, embebidas dentro de etiquetas "HREF". El uso de ciertos caracteres, puede hacer que el navegador deje de responder, o inclusive permitir que se llegue a ejecutar código malicioso.

Un atacante remoto podría aprovecharse de esto, para tomar el control total del equipo que ejecute cualquiera de los navegadores afectados, por el simple hecho de que la víctima visite una página web modificada maliciosamente. No se requiere ninguna otra interacción con el usuario para que ello ocurra.

Se ha publicado una simple prueba de concepto de este fallo, que provoca que el navegador deje de responder. Para ello solo basta un código HTML con el siguiente código:

<A HREF=https:--------------------------------------------- >

Software afectado:

- Netscape 8.0.3.3
- Netscape 7.2
- Mozilla Firefox 1.5 Beta 1
- Mozilla Firefox 1.0.6
- Mozilla Browser 1.7.11

También versiones anteriores pueden ser afectadas.

Soluciones:

Al momento de la publicación de esta alerta, no existen actualizaciones que resuelvan este problema.

De todos modos, Mozilla ha publicado información sobre esta vulnerabilidad en el siguiente enlace:

What Firefox and Mozilla users should know about the IDN buffer overflow security issue

Básicamente, se sugiere un cambio en la configuración de Mozilla y de Firefox, que minimiza el riesgo, hasta que sea publicada una actualización.

Para ello, escriba lo siguiente en la barra de direcciones (más Enter):

about:config

En la barra de filtrado (Filter toolbar), ingrese lo siguiente:

network.enableIDN

Haga clic con el botón derecho en el ítem "network.enableIDN", y seleccione "toggle" para cambiar el valor a "false".

Para verificar que esto ha sido cambiado, asegúrese de cerrar el navegador, vuelva a ejecutarlo, y vuelva a repetir los pasos arriba indicados, corroborando que el valor de "network.enableIDN" sea "false".

También existe un pequeño parche en forma de "add-on", que realiza el mismo cambio, y que puede ser descargado del enlace arriba mencionado, en addons.mozilla.org.

Más información:

Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow Vulnerability
Mozilla Browsers "Host:" Parameter Remote Buffer Overflow Vulnerability
Netscape "Host:" Parameter Remote Buffer Overflow Vulnerability
Firefox URL Domain Name Buffer Overflow
Mozilla URL Domain Name Buffer Overflow
Mozilla Firefox "Host:" Buffer Overflow

Fuente: VSAntivirus
__________________
La carrera no siempre la ganan los más veloces, sino aquellos que siguen corriendo
"No importa cuanto sepas, sino las ganas que tengas de seguir aprendiendo"
Responder Citando
Respuesta

Marcadores


(0 miembros y 1 visitantes)
 
Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado

Ir al Foro

Temas Similares
Tema Autor Foro Respuestas Último mensaje
Liberadas nuevas versiones Mozilla Firefox y Mozilla Thunderbird 1.0.5 chuzo Portal de ForoSUSE 0 13-jul-2005 11:48
Grave vulnerabilidad en extensiones de Mozilla Firefox chuzo Internet, Redes y Wireless 2 11-may-2005 18:27
Encubrimiento de dirección real en Mozilla y Firefox chuzo Internet, Redes y Wireless 0 05-ene-2005 12:25
Operación "array sort" infinita causa DoS en Firefox chuzo Internet, Redes y Wireless 0 29-nov-2004 12:26
Vulnerabilidad en Mozilla y Firefox favorece el phishing chuzo Internet, Redes y Wireless 5 04-ago-2004 02:02



Síguenos en Twitter Suscríbete a nuestras noticias Acompáñanos en Facebook


La franja horaria es GMT +2. Ahora son las 11:27.
Powered by vBulletin™
Copyright © vBulletin Solutions, Inc. All rights reserved.

Esta página está bajo una licencia de Creative Commons, salvo que no se indique lo contrario.
Creative Commons License

Valid CSS!

Diseño por:Designed by: vbdesigns.devbdesigns.de 
Contáctenos - ForoSUSE - Archivo - Declaración de Privacidad - Arriba