RNP > Serviços > Segurança em redes > Alertas do CAIS

Múltiplas Vulnerabilidades no Mozilla Firefox

Secunia Advisory SA21906

[CAIS, 15.09.2006-16:21, revisão 01]

O CAIS está repassando o alerta da Secunia, intitulado "Mozilla Firefox Multiple Vulnerabilities (SA21906)", que trata de diversas vulnerabilidades encontradas no navegador Mozilla Firefox.

As vulnerabilidades descobertas no Firefox podem permitir a execução de ataques do tipo man-in-the-middle, ataques de cross-site scripting e até mesmo a execução de código malicioso no sistema vulnerável, podendo assim comprometê-lo.

A seguir uma breve descrição dos 7 alertas publicados pela Mozilla Foundation:

1. Um erro no tratamento de expressões regulares na linguagem JavaScript pode ser explorado para causar um estouro de pilha na memória do sistema, podendo permitir a execução de código arbitrário no mesmo.
    
2. Devido à utilização de SSL no mecanismo de atualização do Firefox, caso o usuário tenha aceitado um certificado SSL auto-assinado e não verificado, o processo de atualização pode ser direcionado para um site malicioso, podendo permitir a execução de um ataque do tipo man-in-the-middle.
    
3. Alguns erros encontrados na exibição de textos no navegador podem corromper a memória do sistema e permitir a execução de código malicioso no sistema afetado.
    
4. Um erro existe no processo de verificação de assinaturas no pacote da biblioteca Network Security Services (NSS).
    
5. Um erro de cross-domain pode ser explorado para injetar código HTML arbitrário e códigos na forma de scripts em um sub-frame de um outro website via a chamada "[window].frames[index].document.open()".
    
6. Existe um erro nos pop-ups bloqueados quando eles são abertos através da barra de status do navegador, na funcionalidade "blocked popups". Os pop-ups podem ser abertos em um contexto incorreto, podendo permitir a execução de código HTML arbitrário e códigos na forma de scripts no browser do usuário.
    
7. Alguns erros de corrompimento de memória não especificados podem ser utilizados para executar código malicioso no sistema afetado.

Sistemas afetados:

• Mozilla Firefox 0.x
• Mozilla Firefox 1.x

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

• Mozilla Firefox 1.5.0.7 (todos os idiomas e sistemas)

Mais informações:

• Mozilla Firefox Multiple Vulnerabilities (SA21906)
• SANS ISC Handler's Diary September 15th 2006 - Get your fresh Firefox updates
• Known Vulnerabilities in Mozilla Products - Fixed in Firefox 1.5.0.7

Identificador CVE (http://cve.mitre.org): CVE-2006-4253, CVE-2006-4339, CVE-2006-4340, CVE-2006-4565, CVE-2006-4566, CVE-2006-4567, CVE-2006-4568, CVE-2006-4571

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

O CAIS Alerta também é oferecido no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais