Múltiples vulnerabilidades críticas en productos Mozilla

Durante los últimos días han aparecido importantes problemas de seguridad en diversos productos desarrollados bajo el auspicio de Mozilla Foundation.

Alertas

Los productos sobre los que se han emitido alertas son Mozilla Firefox, el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla Suite, la suite de comunicaciones personal. Casi todos los problemas son parecidos y debidos a causas idénticas, ya que los productos citados comparten funcionalidad al emanar de código fuente muy parecido, idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de fallos anteriores, que no fueron convenientemente abstraídos al problema raíz.

El compendio de problemáticas y el estado actual de las mismas es el siguiente:

Mozilla Thunderbird

Un grave problema de seguridad podría comprometer seriamente los equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente se da el problema en entornos UNIX o derivados. Los usuarios de Microsoft Windows pueden respirar tranquilos, si bien se prevé una inminente actualización para el cliente de correo y noticias, que debería ser aprovechada para sincronizar versiones, independientemente de la plataforma que se emplee.

El problema radica en que el script de shell empleado para lanzar Mozilla Thunderbird podría facilitar la ejecución de comandos arbitrarios, ya que es factible construir una URL maliciosa que contenga comandos adicionales externos, contenidos entre barras invertidas, que son parseados y ejecutados sin más comprobaciones. En sistemas donde el gestor de correo por defecto sea Thunderbird, un atacante podría suministrar a la víctima enlaces maliciosos, que al ser pulsados, invocarían al cliente de correo. Si a esa URL se le añaden comandos arbitrarios, éstos serían irremediablemente ejecutados.

Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la aplicación hasta la aparición de la versión que corrija el problema.

Mozilla Firefox

Se ha liberado recientemente la versión 1.0.7 que corrige dos importantes fallos de seguridad, entre los que está la posibilidad análoga a la descrita para Thunderbird, consistente en la factibilidad de ejecutar comandos arbitrarios lanzando las aplicaciones desde la shell. Un ejemplo de secuencia en la shell sería el siguiente:

sergio@hispasec:~$ firefox http://local`find`host (ejecución con éxito del comando “find”)

Otro problema resuelto es la conocida vulnerabilidad que provoca el colapso del navegador cuando se tratan URLs con el carácter 0xAD en su nombre de dominio 0xAD. También hay una corrección para scripts PAC (Proxy Auto-Config) que induciría al colapso de la aplicación.

Éstos problemas quedan resueltos con la versión de actualización 1.0.7, y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental Firefox 1.5 Beta 1 (Deer Park Alpha 2)

De todos modos, hay que estar atento a ciertos problemas, recientemente revisados, y que teóricamente se fueron corrigiendo en las versiones 1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener efectos colaterales al no estar resueltos. Éstos problemas, recordemos, son cuatro, y están siendo revisados o actualizados documentalmente:

Un error en el procesamiento de imágenes XBM podría ser empleado para causar un desbordamiento de búfer a la hora de que el navegador gestione una imagen especialmente preparada a tales efectos. La explotación exitosa de éste problema podría permitir la ejecución de código arbitrario. Otro error ha sido documentado, en este caso en el procesado de secuencias Unicode con atributo “zero-width non-joiner”, que podrían corromper la pila y ocasionar el colapso de la aplicación.

El tercer problema de reciente aparición es un error en el procesado de cabeceras a través de “XMLHttpRequest”, que podría ser aprovechada por usuarios maliciosos para inyectar peticiones no legítimas vía HTTP. El cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM a través de un control XBL.

Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y permanecer atentos a versiones posteriores, que podrían ser igualmente inminentes. Debido a las interrelaciones y el carácter de las vulnerabilidades, la recomendación de actualización es general, independientemente de si se usa Windows o derivados de UNIX como plataforma.

Mozilla Suite

Todos los usuarios deben actualizar a la versión 1.7.12, que corrige diversos problemas de seguridad, de carácter crítico, que podrían facilitar, de un modo remoto, el salto de restricciones de seguridad, la manipulación de datos y eventualmente, ganar acceso al sistema.

Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12