|
MFSA 2007-28: Execução de código arbitrário |
|
|
|
Por Marcelo Almeida (Vympel)
|
|
19 de setembro de 2007 |
|
A fundação Mozilla publicou em seu site um alerta de segurança de nível crítico sobre uma falha na opção "-chrome".
O pesquisador Petko D. Petkov
informou em seu blog que o QuickTime Media-Link quando executa algum arquivo utiliza a função "qtnext" para efetuar a chamada do browser padrão em sistemas baseados no Windows.
Se o browser padrão for o Firefox 2.0.0.6, ou anterior, a função -chrome pode ser usada para executar comandos arbitrários no sistema remoto com os mesmos privilégios do usuário logado. Isto poderá ser usado para roubo de informações ou instaladas de arquivos maliciosos no sistema afetado.
A fundação Mozilla encoraja a todos os usuários a atualizarem para a versão 2.0.0.7 que corrige a falha.
Aviso original: http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
Download da última versão: http://www.mozilla.com/en-US/firefox/all.html
|