|
|
Mozilla: Desbordamiento de HEAP con protocolo NNTP
|
| |
VSantivirus No. 1637 Año 8, jueves 30 de diciembre de 2004
Mozilla: Desbordamiento de HEAP con protocolo NNTP
http://www.vsantivirus.com/vul-mozilla-291204.htm
Por Angela Ruiz
angela@videosoft.net.uy
Mozilla es una suite que incluye un navegador de Internet, un cliente avanzado de correo electrónico y de grupos de noticias (newsgroups), un cliente de IRC, y un editor HTML.
Una vulnerabilidad crítica ha sido reportada en el navegador de la suite Mozilla, relacionada con el manejo del protocolo NNTP (Network News Transport Protocol). Este protocolo es utilizado en el transporte de los mensajes de los grupos de noticias (newsgroups).
Mozilla, como otros navegadores, soporta el uso de URLs NNTP, para la conexión con cualquier servidor de noticias
(news:/ /).
El fallo detectado, provoca un desbordamiento de HEAP (heap overflow), con la posibilidad de ejecutar código arbitrario en el sistema.
El término HEAP indica una porción de memoria disponible para un programa, también llamada área de memoria dinámica, donde la asignación y desasignación de la misma se produce en orden aleatorio.
La vulnerabilidad reportada permite que los límites de esta área sean sobrepasados con el uso de un URL especialmente modificado. Para explotar este fallo, el usuario debe hacer clic sobre un enlace que haya sido creado maliciosamente. Se ha publicado en Internet una prueba de concepto.
Son afectadas las versiones 1.7.3 y anteriores de Mozilla.
Solución:
Descargar e instalar la versión 1.7.5 o superior, que corrige esta vulnerabilidad.
Descarga:
Mozilla Suite
http://www.mozilla.org/products/mozilla1.x/
Créditos:
Maurycy Prodeus
Referencias:
Heap overflow in Mozilla Browser <= 1.7.3 NNTP code
http://www.securityfocus.com/archive/1/385709
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
