RNP > Serviços > Segurança em redes > Alertas do CAIS

Múltiplas Vulnerabilidades no Mozilla Firefox

Secunia Advisory SA26095

[CAIS, 19.07.2007-13:26, revisão 01]

O CAIS está repassando o alerta da Secunia, intitulado "Mozilla Firefox Multiple Vulnerabilities (SA26095)", que trata de diversas vulnerabilidades encontradas em produtos Mozilla.

As vulnerabilidades descobertas no Firefox podem permitir a execução de ataques de cross-site scripting e até mesmo a execução de código malicioso no sistema vulnerável, podendo assim comprometê-lo.

A seguir uma breve descrição das vulnerabilidades publicadas pela Mozilla Foundation:

1) Erros no engine do navegador podem ser explorados e resultar no corrompimento de memória e potencialmente permitir a execução de código arbitrário.

2) Múltiplos erros no engine do Javascript podem ser explorados e resultar no corrompimento de memória e potencialmente permitir a execução de código arbitrário.

3) Um erro nos métodos "addEventListener" e "setTimeout" pode ser explorado e permitir que seja injetado um script dentro de outro contexto de site, burlando a política do site de "mesma origem".

4) Um erro no manipulador de cross-domain pode ser explorado permitindo que seja injetado código HTML e código script em um sub-frame de outro site.

5) Um erro não especificado na maneira que são tratados elementos de fora dos documentos pode permitir a um atacante chamar o gerenciador de eventos e executar código arbitrário com privilégios do chrome.

6) Um erro não especificado ao gerenciar chamadas ao "XPCNativeWrapper" pode levar à execução de código arbitrário.

7) Existe uma condição de execução remota de código que ocorre ao ser invocado o Firefox pelo Internet Explorer.

8) Existe uma vulnerabilidade que pode ser explorada localmente que ocorre devido a um problema de interpretação no nome de um arquivo a ser executado.

9) Existe uma falha no Firefox que permite o acesso a documentos guardados (cached) sem as mesmas verificações de mesma origem.

Sistemas afetados:

• Mozilla Firefox 2.0.0.4 e anteriores
• Mozilla Thunderbird 2.0.0.4 e anteriores

Correções disponíveis:

Recomenda-se fazer a atualização para as versões disponíveis em:

• Mozilla Firefox 2.0.0.5 (todos os idiomas e sistemas)
• Mozilla Thunderbird 2.0.0.5 (todos os idiomas e sistemas)

Normalmente também é possível atualizar produtos Mozilla através da opção "Check for Updates...", disponível no menu "Help" do próprio software.

Mais informações:

• Mozilla Firefox Multiple Vulnerabilities (SA26095)
• Firefox "wyciwyg://" Handler Vulnerability
• US-CERT Technical Cyber Security Alert TA07-199A -- Mozilla Updates for Multiple Vulnerabilities
• Known Vulnerabilities in Mozilla Products
  http://www.mozilla.org/projects/security/known-vulnerabilities.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-18.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-19.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-20.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-21.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-22.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-23.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-24.html
  http://www.mozilla.org/security/announce/2007/mfsa2007-25.html
  

Identificador CVE (http://cve.mitre.org): CVE-2007-3734, CVE-2007-3735, CVE-2007-3736, CVE-2007-3737, CVE-2007-3738, CVE-2007-3089, CVE-2007-3670, CVE-2007-3285, CVE-2007-3656

O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as últimas versões e correções oferecidas pelos fabricantes.

Os Alertas do CAIS também são oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais