26 septiembre 2005

Usuarios de Firefox, Mozilla y Netscape en peligro.

Se ha liberado un exploit (código que saca provecho de una vulnerabilidad), que podría permitir a un atacante tomar el control completo de las computadoras que se conecten a Internet con versiones no actualizadas de Firefox, Mozilla o Netscape.
Los usuarios que se han actualizado a las versiones 1.0.7 de Firefox, o 1.7.12 de Mozilla, no son afectados.
Usuarios de Firefox 1.5 Beta 1 y Netscape, siguen vulnerables, pues no existen parches o actualizaciones, aunque Mozilla publicó algunas sugerencias para minimizar los riesgos en versiones vulnerables de Firefox y de Mozilla, que también pueden aplicarse provisoriamente en Netscape (ver "Vulnerabilidad crítica en Netscape, Mozilla y Firefox", http://www.vsantivirus.com/vul-idn-090905.htm).
El exploit puede ser modificado para que cualquier usuario malicioso pueda causar graves daños en los equipos vulnerables, y no un simple cuelgue del programa, como hacía la prueba de concepto presentada al comienzo.
Este código puede ejecutarse cuando se visita un sitio web malicioso, si se utiliza para navegar cualquiera de las versiones vulnerables de Firefox, Mozilla o Netscape.
La vulnerabilidad explotada, es la relacionada con un desbordamiento de búfer en la función "NormalizeIDN", cuando se manejan nombres de dominio internacionales con la norma conocida como IDN por las siglas en inglés de "International Domain Name", y que permite la utilización de caracteres como la "eñe" por ejemplo.
Una vez ejecutado el exploit, puede controlarse el equipo afectado de forma remota. El código también podría ser modificado en el futuro, para que un gusano o un caballo de Troya, llegara a utilizarlo para infectar equipos vulnerables.
Los usuarios de Firefox y Mozilla, deberían actualizarse a la brevedad a las versiones que corrigen el problema (1.0.7 y 1.7.12 respectivamente).
Netscape no ha publicado ningún parche hasta el momento, pero el exploit actual no lo afectaría del mismo modo que a Firefox, aunque ello podría variar en próximas modificaciones del mismo.
Los usuarios de Firefox 1.5 Beta 1 también son afectados, pero aún no ha sido publicada una versión definitiva que corrija el problema (solo existen compilaciones de una versión 1.8).
Solución:
Actualizarse a las versiones no vulnerables de Firefox y Mozilla.