http://www.vsantivirus.com/vul-mozilla-220705.htm
[quote]
Se ha hecho pública una vulnerabilidad en los navegadores de
Mozilla y Firefox, relacionada con la implementación de XPCOM
(Cross Platform Component Object Model o Modelo de Objeto
Componente Multiplataforma).
XPCOM fue creado inicialmente como parte del proyecto Mozilla
pero es utilizado por muchas aplicaciones, incluyendo
FireFox, NetScape, Mozilla, Galeon, etc. Se trata de una
variante multiplataforma del conocido Modelo de Objeto
Componente (COM).
Un usuario remoto, puede explotar este fallo, para provocar
que los navegadores afectados dejen de responder.
Para que ello ocurra, solo basta crear un documento HTML
especialmente modificado, de tal modo que cuando el usuario
intente visualizar dicha página con Mozilla o Firefox, el
programa falle.
La vulnerabilidad es del tipo "Race condition" o "condición
de desincronización". Esta clase de problema ocurre cuando un
evento se produce fuera del periodo previsto, con resultados
imprevisibles. En este caso, al ejecutarse algunas llamadas
para el borrado de objetos en la página antes de que los
mismos hayan sido referenciados. Como resultado se produce
una violación de acceso a ciertas partes de la memoria usada
por el programa, con las consecuencias antes mencionadas.
* Software vulnerable:
- Mozilla Browser 1.0 RC2
- Mozilla Browser 1.0 RC1
- Mozilla Browser 1.0
- Mozilla Browser 1.0.1
- Mozilla Browser 1.0.2
- Mozilla Browser 1.1 Beta
- Mozilla Browser 1.1 Alpha
- Mozilla Browser 1.1
- Mozilla Browser 1.2 Beta
- Mozilla Browser 1.2 Alpha
- Mozilla Browser 1.2
- Mozilla Browser 1.2.1
- Mozilla Browser 1.3
- Mozilla Browser 1.3.1
- Mozilla Browser 1.4 b
- Mozilla Browser 1.4 a
- Mozilla Browser 1.4
- Mozilla Browser 1.4.1
- Mozilla Browser 1.4.2
- Mozilla Browser 1.4.4
- Mozilla Browser 1.5
- Mozilla Browser 1.5.1
- Mozilla Browser 1.6
- Mozilla Browser 1.7 rc3
- Mozilla Browser 1.7 rc2
- Mozilla Browser 1.7 rc1
- Mozilla Browser 1.7 beta
- Mozilla Browser 1.7 alpha
- Mozilla Browser 1.7
- Mozilla Browser 1.7.1
- Mozilla Browser 1.7.2
- Mozilla Browser 1.7.3
- Mozilla Browser 1.7.4
- Mozilla Browser 1.7.5
- Mozilla Browser 1.7.6
- Mozilla Browser 1.7.7
- Mozilla Browser 1.7.8
- Mozilla Browser 1.7.9
- Mozilla Browser 1.7.10
- Mozilla Firefox 0.8
- Mozilla Firefox 0.9 rc
- Mozilla Firefox 0.9
- Mozilla Firefox 0.9.1
- Mozilla Firefox 0.9.2
- Mozilla Firefox 0.9.3
- Mozilla Firefox 0.10
- Mozilla Firefox 0.10.1
- Mozilla Firefox 1.0
- Mozilla Firefox 1.0.1
- Mozilla Firefox 1.0.2
- Mozilla Firefox 1.0.3
- Mozilla Firefox 1.0.4
- Mozilla Firefox 1.0.5
- Mozilla Firefox 1.0.6
Otros navegadores basados en Mozilla y que implementan XPCOM,
también podrían ser vulnerables.
* Soluciones:
No se conocen soluciones al momento de publicarse esta
alerta. Existe en Internet una prueba de concepto, y el autor
piensa que con un poco de esfuerzo, podría lograrse algo más
que un simple cuelgue del programa.
Mozilla, a pesar de conocer desde hace meses el problema, no
ha realizado ninguna solución definitiva porque sus
desarrolladores creen que eso "podría crear una regresión" en
algunos de los últimos parches, según comentarios del
descubridor de la vulnerabilidad.
Solo una de las copias más recientes del navegador Mozilla
parece no ser afectada (Deer Park). Pero las últimas
versiones de Mozilla Suite (1.7.10) y Firefox (1.0.6),
todavía son vulnerables.
[/quote]