Sistemas Afectados

Sistemas No Afectados

1. Descripción

   Se encontrarón dos vulnerabilidades en Firefox, estas pueden explotarse por personas maliciosas para realizar ataques de Cross-Site Scripting y comprometer el sistema de un usuario.

   1) El problema esta en que los URLs de JavaScript "IFRAME", no son protegidos adecuadamente de ser ejecutados en el contexto de otra URL dentro del histórico. Este puede explotarse para ejecutar código HTML y script arbitrario en la sesión de un navegador de un usuario dentro del contexto de un sitio arbitrario.

   2) La entrada que se pasa al parámetro "IconURL" en "InstallTrigger.install()" no es verificada apropiadamente antes de ser usada. Esto puede explotarse para ejecutar código JavaScript arbitrario con privilegios escalados via una URL de JavaScript maliciosa.

   Una explotación exitosa requiere que el sitio permita instalar software. (Los sitios por default son: "update.mozilla.org" y "addons.mozilla.org")

   Una combinación de las dos vulnerabilidades podra explotarse para ejecutar código arbitrario.

2. Impacto

   Cross-Site Scripting.

   Acceso remoto al sistema.

3. Soluciones

   1) Deshabilitar JavaScript

   2) Deshabilitar la instalación de software:
   Options --> Web Features --> "Allow web sites to install software"

   NOTA: Se ha implementado una solución temporal en los sitios "update.mozilla.org" y "addons.mozilla.org", las peticiones son redireccionadas a "do-not-add.mozilla.org". Esto detendrá al código exploit publicado, que utiliza una combinación de las dos vulnerabilidades para ejecutar código arbitrario, debido a las características por default de Firefox.

4. Apendices

   Mayor información.

   http://www.mozilla.org/security/announce/mfsa2005-42.html

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

• Jesús Mauricio Andrade Guzmán (mandrade at seguridad dot unam dot mx)