Vulnerability Bulletins |
Vulnerabilidades en Mozilla Firefox |
|
Vulnerability classification |
|
| Property | Value |
| Confidence level | Oficial |
| Impact | Obtener acceso |
| Dificulty | Principiante |
| Required attacker level | Acceso remoto sin cuenta a un servicio estandar |
System information |
|
| Property | Value |
| Affected manufacturer | GNU/Linux |
| Affected software |
Firefox <=1.0.3 Mozilla Suite <=1.7.7 |
Description |
|
|
Se han descubierto dos vulnerabilidades en Mozilla Firefox que combinadas pueden permitir a un atacante remoto ejecutar código arbitrario. Mozilla Suite se ve únicamente afectada por una de las vulnerabilidades. La primera de las vulnerabilidades podría permitir a un atacante remoto ejecutar código javascript arbitrario mediante el uso de un IFRAME y provocando que firefox se dirija hacia "atrás" a una URL del tipo javascript:. Esta vulnerabilidad afecta tanto a Firefox como Mozilla Suite. Una segunda vulnerabilidad que reside en el cuadro de diálogo de confirmación de instalación de Firefox podría permitir a un atacante ejecutar código javascript arbitrario mediante el uso de una URL javascript: como icono de paquete. |
|
Solution |
|
|
Si lo desea, aplique los mecanismos de actualización propios de su distribución, o bien baje las fuentes del software y compílelo usted mismo. Actualización de software Mozilla Firefox 1.0.4 http://www.mozilla.org/products/firefox/ Mozilla Suite 1.7.8 http://www.mozilla.org/products/mozilla1.x/ Red Hat Linux (firefox) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 4) https://rhn.redhat.com/ Red Hat Linux (mozilla) Red Hat Desktop (v. 3) Red Hat Desktop (v. 4) Red Hat Enterprise Linux AS (v. 2.1) Red Hat Enterprise Linux AS (v. 3) Red Hat Enterprise Linux AS (v. 4) Red Hat Enterprise Linux ES (v. 2.1) Red Hat Enterprise Linux ES (v. 3) Red Hat Enterprise Linux ES (v. 4) Red Hat Enterprise Linux WS (v. 2.1) Red Hat Enterprise Linux WS (v. 3) Red Hat Enterprise Linux WS (v. 4) Red Hat Linux Advanced Workstation 2.1 Itanium rocessor https://rhn.redhat.com/ SUSE Linux Actualizar mediante YaST Online Update SUSE Linux SUSE Linux 9.3 x86 ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/i586/MozillaFirefox-1.0.4-1.1.i586.rpm ftp://ftp.suse.com/pub/suse/i386/update/9.3/rpm/i586/MozillaFirefox-translations-1.0.4-1.1.i586.rpm SUSE Linux 9.2 x86 ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/i586/MozillaFirefox-1.0.4-1.1.i586.rpm x86-64 ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/x86_64/MozillaFirefox-1.0.4-1.1.x86_64.rpm ftp://ftp.suse.com/pub/suse/i386/update/9.2/rpm/src/MozillaFirefox-1.0.4-1.1.src.rpm SUSE Linux 9.1 x86 ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/i586/MozillaFirefox-1.0.4-0.3.i586.rpm ftp://ftp.suse.com/pub/suse/i386/update/9.1/rpm/src/MozillaFirefox-1.0.4-0.3.src.rpm x86-64 ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/x86_64/MozillaFirefox-1.0.4-0.3.x86_64.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.1/rpm/src/MozillaFirefox-1.0.4-0.3.src.rpm SUSE Linux 9.0 x86 ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/i586/MozillaFirebird-1.0.4-2.i586.rpm ftp://ftp.suse.com/pub/suse/i386/update/9.0/rpm/src/MozillaFirebird-1.0.4-2.src.rpm x86-64 ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/x86_64/MozillaFirebird-1.0.4-2.x86_64.rpm ftp://ftp.suse.com/pub/suse/x86_64/update/9.0/rpm/src/MozillaFirebird-1.0.4-2.src.rpm HP OpenVMS Alpha Secure Web Browser V1.7-8 (CSWB-OPENVMS-ALPHA-V178.SFX_AXPEXE) http://h71000.www7.hp.com/openvms/products/ips/cswb/cswb_download.html SCO UnixWare 7.1.4 ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.29/mozilla.image OpenServer 5.0.7 ftp://ftp.sco.com/pub/openserver5/507/mp/osr507mp4/osr507mp4_vol.tar |
|
Standar resources |
|
| Property | Value |
| CVE |
CAN-2005-1476 CAN-2005-1477 |
| BID | |
Other resources |
|
|
Mozilla Foundation Security Advisory 2005-42 http://www.mozilla.org/security/announce/mfsa2005-42.html Red Hat Security Advisory RHSA-2005:434-10 https://rhn.redhat.com/errata/RHSA-2005-434.html Red Hat Security Advisory RHSA-2005:435-14 https://rhn.redhat.com/errata/RHSA-2005-435.html SUSE Security Summary Report SUSE-SR:2005:014 http://www.novell.com/linux/security/advisories/2005_14_sr.html SUSE Security Announcement SUSE-SA:2005:030 http://www.novell.com/linux/security/advisories/2005_30_mozilla_firefox.html HP SECURITY BULLETIN HPSBOV01209 http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=HPSBOV01209 SCO Security Advisory SCOSA-2005.29 ftp://ftp.sco.com/pub/updates/UnixWare/SCOSA-2005.29/SCOSA-2005.29.txt SCO Security Advisory (SCOSA-2005.49) ftp://ftp.sco.com/pub/updates/OpenServer/SCOSA-2005.49/SCOSA-2005.49.txt |
|
Version history |
||
| Version | Comments | Date |
| 1.0 | Aviso emitido | 2005-05-10 |
| 1.1 | Publicados Firefox 1.0.4 y Mozilla Suite 1.7.8 | 2005-05-12 |
| 1.2 | Avisos emitidos por Red Hat (RHSA-2005:434-10, RHSA-2005:435-06) | 2005-05-24 |
| 1.3 | Aviso actualizado por Red Hat (RHSA-2005:435-14) | 2005-05-25 |
| 1.4 | Aviso emitido por SUSE (SUSE-SR:2005:014) | 2005-06-08 |
| 1.5 | Aviso emitido por SUSE (SUSE-SA:2005:030) | 2005-06-10 |
| 1.6 | Aviso emitido por HP (HPSBOV01209) | 2005-06-30 |
| 1.7 | Aviso emitido por SCO (SCOSA-2005.29) | 2005-07-04 |
| 1.8 | Aviso emitido por SCO (SCOSA-2005.49) | 2005-11-28 |