Vulnerabilidad en Thunderbird <=1.0.7 posibilita engaños con extensiones de archivos

Por marcelo-ar - 18 de Enero, 2006, 1:18, Categoría: General

Secunia Research ha descubierto una vulnerabilidad en Mozilla Thunderbird, la cual podría ser explotada por atacantes remotos para engañar a los usuarios y que ejecuten archivos maliciosos.

La vulnerabilidad es debida a que los adjuntos no son correctamente visualizados en los mensajes. Esto puede ser explotado para falsear la extensión y el icono asociado al tipo de archivo mediante una combinación de nombres de archivos demasiado extensos conteniendo espacios en blanco y encabezados "Content-Type" que no correspondan a la extensión del mismo.
Esto podría ser explotado por atacantes remotos para falsear los tipos y extensiones de archivos, y engañar a los usuarios para que ejecuten contenido malicioso.

La vulnerabilidad ha sido confirmada en las versiones 1.0.2, 1.0.6, y 1.0.7 para Windows. Otras versiones anteriores también podrían estar afectadas.

Solución:
Actualizar a Thunderbird 1.5
http://www.mozilla.com/thunderbird/
Todos los idiomas:
http://www.mozilla.com/thunderbird/all.html

Tiempos de divulgación:
01/07/2005 - Notificación inicial al fabricante.
10/07/2005 - El fabricante confirma la vulnerabilidad.
27/07/2005 - Vulnerabilidad resuelta en el repositorio CVS.
12/01/2006 - Thunderbird 1.5 disponible para el público en general.
17/01/2006 - Divulgación pública.

Créditos:
Descubierto por Andreas Sandblad, Secunia Research.

Reporte original:
Secunia Research
http://secunia.com/secunia_research/2005-22/advisory/

Otras referencias:
https://bugzilla.mozilla.org/show_bug.cgi?id=300246

Ref.:
FrSIRT/ADV-2006-0230
Mozilla Thunderbird Attachment Extension and Type Spoofing Vulnerability
http://www.frsirt.com/english/advisories/2006/0230

Secunia Advisory: SA15907
Mozilla Thunderbird Attachment Spoofing Vulnerability
http://secunia.com/advisories/15907/

El Blog

Calendario

<<   Enero 2006  >>
LMMiJVSD
            1
2 3 4 5 6 7 8
9 10 11 12 13 14 15
16 17 18 19 20 21 22
23 24 25 26 27 28 29
30 31      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker