Home > Uncategorized > [SA21906]Múltiplas Vulnerabilidades no Firefox

[SA21906]Múltiplas Vulnerabilidades no Firefox

As vulnerabilidades descobertas no Firefox podem permitir a execucao de
ataques do tipo man-in-the-middle, ataques de cross-site scripting e
ate'
mesmo a execucao de codigo malicioso no sistema vulneravel, podendo
assim
compromete-lo.

A seguir uma breve descricao dos 7 alertas publicados pela Mozilla
Foundation:

1) Um erro no tratamento de expressoes regulares na linguagem
JavaScript
pode ser explorado para causar um estouro de pilha na memoria do
sistema,
podendo permitir a execucao de codigo arbitrario no mesmo.

2) Devido 'a utilizacao de SSL no mecanismo de atualizacao do Firefox,
caso o usuario tenha aceitado um certificado SSL auto-assinado e nao
verificado, o processo de atualizacao pode ser direcionado para um site
malicioso, podendo permitir a execucao de um ataque do tipo
man-in-the-middle.

3) Alguns erros encontrados na exibicao de textos no navegador podem
corromper a memoria do sistema e permitir a execucao de codigo
malicioso
no sistema afetado.

4) Um erro existe no processo de verificacao de assinaturas no pacote
da
biblioteca Network Security Services (NSS).

5) Um erro de cross-domain pode ser explorado para injetar codigo HTML
arbitrario e codigos na forma de scripts em um sub-frame de um outro
website via a chamada "[window].frames[index].document.open()".

6) Existe um erro nos pop-ups bloqueados quando eles sao abertos
atraves
da barra de status do navegador, na funcionalidade "blocked popups". Os
pop-ups podem ser abertos em um contexto incorreto, podendo permitir a
execucao de codigo HTML arbitrario e codigos na forma de scripts no
browser do usuario.

7) Alguns erros de corrompimento de memoria nao especificados podem ser
utilizados para executar codigo malicioso no sistema afetado.

Sistemas afetados:

. Mozilla Firefox 0.x
. Mozilla Firefox 1.x

Correcoes disponiveis:

Recomenda-se fazer a atualizacao para as versoes disponiveis em:

. Mozilla Firefox 1.5.0.7 (todos os idiomas e sistemas)
  http://www.mozilla.com/firefox/all.html

* Normalmente tambem e' possivel atualizar o Mozilla Firefox
    atraves da opcao "Check for Updates...", disponivel no menu
    "Help" do proprio software.

Mais informacoes:

. Mozilla Firefox Multiple Vulnerabilities (SA21906)
  http://secunia.com/advisories/21906/

. SANS ISC Handler's Diary September 15th 2006 - Get your fresh Firefox
updates
  http://www.isc.sans.org/diary.php?storyid=1702

. Known Vulnerabilities in Mozilla Products - Fixed in Firefox 1.5.0.7

http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.7

		
Categories: Uncategorized Tags:
  1. 09/16/2006 at 7:59 PM

    Cara, o que você acha de levar esses anúncios para uma lista específica, e assim deixarmos o planeta para posts sobre outros assuntos?

    Abraço,

  2. 09/16/2006 at 8:02 PM

    Aloha,

    Também não acho que o Planeta seja o melhor lugar para isso. Eu entendo o Planeta como um local de colunistas, que publicam textos próprios, com suas próprias análises e não copiar e colar conteúdo de outras fontes.

    Esse teu anúncio tá mais ligado ao projeto AgenciaDeNoticias do que o Planeta.

  3. 09/16/2006 at 8:14 PM

    Eu também acho que essas listas estão fugindo do propósito do planeta, não que elas sejam ruim, mas fogem um pouco do contexto. Talvez você possa separar os posts que vão para o planeta e aí tu deixa esse tipo de mensagem para quem visita seu blog diretamente.

    []’s

  4. Tucson
    09/17/2006 at 6:56 PM

    gostaria de saber pq o meu firefox vem com a opção de fazer downloads dos updates desabilitado???????
    Alguem me da uma luz ai… Tb não consegui fazer a instalação do flash automaticamente… Tive que fazer na mão!!!! Espero resposta… valeu!

  5. Tucson
    09/18/2006 at 1:06 PM

    Não recebi resposta sobre a atualizção do Firefox… Mais como todo bom usuario do pinguim corremos atras do problema… No meu caso eu fiz o download da ultima versão do firefox e extrai… Foi criada uma pasta FIREFOX ai eu copiei a pasta para /usr/lib/… Substitui os arquivos e ai pronot…É só executar o firefox como root e habilitar a opção de download das atualizações do firefox… qualquer duvida tucson.heringer@gmail.com

  6. Fábio Nogueira
    09/19/2006 at 12:46 AM

    Discordo!

    Tenho isso como um alerta… é bom que nos faz lembrar das nossas atualizações. Isso não foge do tema… está falando sobre Linux, Ubuntu… vulnerabilidades.

    []’s

  7. 09/19/2006 at 2:17 PM

    Amigos,

    Acho que não é interessante o envio destas notificações para o planeta. O mesmo é mais direcionado ao público iniciante/intermediário. Mesmo que fosse direcionado ao público avançado, ainda é pequena a parcela deste grupo que tem o interesse em ver as últimas security announcementes.
    Acho que é interessante a utilização de uma lista específica, assim como já ocorre na ubuntu-security-announce (lista cujo assino).

    Abraços,
    Júlio

  1. No trackbacks yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: