[Solar-ututo-e] Mozilla Firefox habilita permisos de escritura

G.A.Z. gustz en freedom.net.ar
Vie Sep 17 17:47:01 CEST 2004


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1


Les paso esto _por las dudas_ ya que no se si se aplica a Ututo-e

Saludos,
Gustavo


[extraido del Boletin VSantivirus No. 1533 Año 8, vie.17/9/04]
- ---------------8<------------------8<--------------------------------------
1 - Mozilla Firefox habilita permisos de escritura
______________________________________________

http://www.vsantivirus.com/vul-firefox-160904.htm

Mozilla Firefox habilita permisos de escritura
Por Angela Ruiz
angela en videosoft.net.uy

Se ha reportado que Mozilla Firefox para Linux, puede ser
susceptible a una vulnerabilidad por incorrecto uso de los
permisos asignados a sus archivos.

El problema ha sido comprobado en la versión publicada por
Mozilla. Si el navegador es instalado por el software
administrador de paquetes contenido en la mayoría de las
distribuciones de Linux, esta vulnerabilidad no suele
presentarse.

El fallo permite a un atacante con acceso local interactivo a
las computadoras que hayan instalado Firefox, sobrescribir
archivos binarios y scripts usados por Firefox. Esto también
habilita el uso de scripts y la ejecución de código en el
contexto del usuario que esté ejecutando el paquete afectado.

Si este método es usado por un superusuario para instalar una
versión "system-wide" del navegador, entonces los archivos
raíz del sistema tendrán permisos de escritura para todo el
mundo, permitiendo la ejecución de código en el contexto de
cualquier usuario que utilice el paquete afectado.

Es vulnerable la instalación descargada de Mozilla.org para
las versiones 0.9.x de Firefox para Linux.

No se requiere ningún exploit para aprovecharse de este
fallo.

Cómo solución provisoria, se sugiere ejecutar el siguiente
comando en el directorio donde Firefox ha sido instalado, sin
embargo, no se ha comprobado esto en todos los escenarios:

  file [directorio] -print0 | xargs -0 chmod g-w,o-w

Esto puede remover en forma recursiva todos los permisos de
escritura para archivos y directorios.

El fabricante no ha proporcionando parches para esta
vulnerabilidad a la fecha de este artículo.


* Productos vulnerables
Mozilla Firefox 0.9 rc para Linux
Mozilla Firefox 0.9 para Linux
Mozilla Firefox 0.9.1 para Linux
Mozilla Firefox 0.9.2 para Linux
Mozilla Firefox 0.9.3 para Linux

* Créditos: Max <spamhole en gmx.at>

* Referencias:
Insecure file permissions in the Firefox browser for Linux >= v0.9
http://www.securityfocus.com/archive/1/375016

Mozilla Firefox Home Page
http://www.mozilla.org/products/firefox/

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
- -----------8<--------------------8<------------


- -- 
- -Gustavo A. Zanetti
<gustz[@]data54[PUNTO]com>
 JID: gustz[@]jabberes.org

GNU/Linux User: # 280180 - http://counter.li.org/

Public Key ID = 056CEBB8
Fpr= 1393 3A6D 26DF 99EE 496F  EE51 3668 C04B 056C EBB8
http://pgp.rediris.es:11371/pks/lookup?op=get&search=0x056CEBB8


	~~
	        Free Software, Free Society.
					        ~~

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.6 (GNU/Linux)

iD8DBQFBSwcENmjASwVs67gRAijeAJ4ie5lhyruKi0xjDr1XhDLj9bQkygCgkQlT
PVZHQe4uErDKZs9rvvLhsuA=
=23eu
-----END PGP SIGNATURE-----



Más información sobre la lista de distribución Solar-ututo-e