Se reportó una vulnerabilidad en Thunderbird, que puede explotarse para comprometer el sistema de un usuario.
Peter Zelezny
Bugzilla Bug 307185
Mozilla Thunderbird | <= | 1.0.6 |
Se reportó una vulnerabilidad en Thunderbird, que puede explotarse por personas maliciosas para comprometer el sistema de un usuario.
La vulnerabilidad se debe a que el script utilizado para iniciar Thunderbird analiza los comandos de shell que son escapados con comillas simples en la URL cuando se provee desde la línea de comandos. Esto puede explotarse para ejecutar comandos arbitrarios de shell al engañar a un usuario a que siga una liga maliciosa dentro de una aplicación externa que utilice Thuderbird como lector de correo por default (Por ejemplo el navegador Firefox).
Esta vulnerabilidad solo puede explotarse en ambientes Unix / Linux.
La vulnerabilidad fue confirmada en la versión 1.0.6 en Fedora Core 4. Otras versiones y plataformas también podrían ser afectadas.
Acceso al sistema.
No utilizar Thuderbird como el lector de correo por default.
Mayor información.
http://bugzilla.mozilla.org/show_bug.cgi-id=307185La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT