Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Revista Digital GRIS Edição Abril de 2008 - Sobre o GRIS - UFRJ
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Múltiplas Vulnerabilida<strong>de</strong>s no Mozilla Thun<strong>de</strong>rbird permitem<br />
Execução <strong>de</strong> código e ataques <strong>de</strong> Cross Site Scripting<br />
Nível: Critico CVE ID's: <strong>2008</strong>-1233 | <strong>2008</strong>-1234 | <strong>2008</strong>-1235<br />
<strong>2008</strong>-1236 | <strong>2008</strong>-1237<br />
Publicada em: 26/03/<strong>2008</strong> Fonte: FrSIRT<br />
Foram encontradas algumas vulnerabilida<strong>de</strong>s no Mozilla Thun<strong>de</strong>rbird, que po<strong>de</strong>m ser<br />
exploradas por indivíduos maliciosos <strong>de</strong> modo a executar um script arbitrário, burlar restrições <strong>de</strong><br />
segurança, causar um ataque <strong>de</strong> negação <strong>de</strong> serviço ou tomar total controle do sistema afetado.<br />
Detalhes:<br />
A primeira falha <strong>de</strong> segurança é causada por um erro ao lidar com o “XPCNativeWrappers”,<br />
que po<strong>de</strong> ser explorada por atacantes para executar código arbitrário através da chamada<br />
setTimeout();<br />
Para enten<strong>de</strong>r melhor:<br />
- Mozilla Thun<strong>de</strong>rbird: Leitor <strong>de</strong> e-mails, <strong>de</strong>senvolvido pela Mozilla Foundation.<br />
- Cross-site scripting: Também chamado <strong>de</strong> XXS, este ataque permite a injeção <strong>de</strong> código malicioso<br />
por usuários maliciosos <strong>de</strong>ntro <strong>de</strong> páginas acessadas por outros usuários, sendo possível, assim,<br />
conseguir informações ou acessos restritos.<br />
- Ataque <strong>de</strong> negação <strong>de</strong> serviço: Também conhecido como Denial of Service (DoS), trata-se <strong>de</strong> um<br />
ataque que visa tornar os recursos <strong>de</strong> um sistema indisponíveis para seus utilizadores, através da<br />
sobrecarga dos recursos <strong>de</strong>ste sistema (memória, processamento, etc.), <strong>de</strong> forma a força-lo a<br />
reinicializar ou impedi-lo <strong>de</strong> dispor <strong>de</strong> recursos para fornecer seus serviços. O ataque não se<br />
qualifica como uma invasão, mas sim como uma invalidação por sobrecarga.<br />
A segunda vulnerabilida<strong>de</strong> é causada por erros <strong>de</strong> validação <strong>de</strong> entrada ao lidar com<br />
JavaScript, que po<strong>de</strong>m ser exploradas por atacantes para executar scripts arbitrários.<br />
A terceira falha <strong>de</strong> segurança é causada por erros <strong>de</strong> corrupção <strong>de</strong> memória nos mecanismos<br />
<strong>de</strong> layout e JavaScript ao processar dados malformados, que po<strong>de</strong>m ser explorados por atacantes<br />
para travar aplicativos vulneráveis ou executar código arbitrário.