SoloCodigo
Informática en general => Seguridad y Criptografía => Vulnerabilidades => Mensaje iniciado por: RadicalEd en Miércoles 26 de Abril de 2006, 17:11
-
Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un atacante obtener información del usuario del programa afectado.
Los problemas ocurren porque la aplicación no proporciona una adecuada restricción en su intérprete HTML para impedir la descarga de contenido remoto en los mensajes recibidos.
Estas vulnerabilidades pueden permitir a un atacante remoto acceder a información potencialmente sensible (incluyendo dirección IP de la víctima), lo que puede ayudar al primero en futuros ataques. El atacante también puede saber si el usuario leyó el mensaje, y en ese caso, el momento exacto en que lo hizo.
Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras versiones probablemente también lo sean.
No se requiere un exploit para aprovecharse de estos problemas. Se han publicado ejemplos de referencia.
Software vulnerable:
- Mozilla Thunderbird 1.5.x
- RedHat Desktop 4.0
- RedHat Enterprise Linux AS 4
- RedHat Enterprise Linux ES 4
- RedHat Enterprise Linux WS 4
Solución:
No se han publicado soluciones al momento.
Más información:
Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info (http://www.securityfocus.com/bid/16881/info)
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cvename.c...e=CVE-2006-1045 (http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1045)
CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.
Relacionados:
Thunderbird
http://www.mozilla.com/thunderbird/ (http://www.mozilla.com/thunderbird/)
http://www.mozilla-europe.org/es/products/thunderbird/ (http://www.mozilla-europe.org/es/products/thunderbird/)
Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/productos/descargas.php (http://nave.escomposlinux.org/productos/descargas.php)