Secunia Research ha reportado una vulnerabilidad en Mozilla y Mozilla Firefox, que podría ser explotada por un usuario malicioso para engañar sobre la dirección real de un archivo, al ser mostrada ésta en la ventana de descarga.
El problema se produce por un error durante la gestión de nombres largos, cuando estos incluyen el subdominio y el camino completo del archivo. En determinados casos, se puede utilizar el fallo para encubrir la dirección real del archivo a descargar, permitiendo a un atacante hacer creer a su víctima que se está realizando desde un sitio de confianza.
La vulnerabilidad ha sido confirmada en Mozilla 1.7.3 para Linux, Mozilla 1.7.5 para Windows, y Mozilla Firefox 1.0. Otras versiones también podrían ser afectadas.
Vulnerabilidad de la suite con imágenes XBM
Mozilla es una suite compuesta por un navegador de Internet, clientes de correo y noticias, IRC chat y editor HTML.
El cliente de correo electrónico y el navegador Web, permiten la utilización de archivos de imágenes en formato XBM (X Bitmap). Un fallo provocado por la manera que este software maneja este tipo de archivos, permite a un usuario malicioso realizar un ataque de denegación de servicio (DoS).
Esta vulnerabilidad puede ser explotada enviando un correo electrónico conteniendo una imagen modificada maliciosamente, o engañando al usuario para que visite una web maliciosa conteniendo una página con dicho tipo de imagen.
Se ha publicado una prueba de concepto (PoC) en el siguiente enlace: http://www.geocities.com/xbm_bug/index.html
Es vulnerable Mozilla 1.6 para Windows y posiblemente también lo sean las versiones anteriores.
No son afectadas las versiones de Mozilla para Linux.
