Em artigo dia 30 eu comentei sobre uma vulnerabilidade divulgada que afetava o Firefox, mesmo na recente atualização 2.0.0.5.
No dia 30 mesmo a Fundação Mozilla lançou nova atualização de segurança Firefox 2.0.0.6 e, dois dias depois, Thunderbird 2.0.0.6, ambas endereçando duas vulnerabilidades:
- MFSA 2007-27: Unescaped URIs passed to external programs; crítica.
- MFSA 2007-26: Privilege escalation through chrome-loaded about:blank windows; de impacto moderado.
À medida que são discutidos mais detalhes sobre a falha reportada pelos pesquisadores de segurança Billy Rios e Nathan McFeters (MFSA 2007-27), percebe-se que a origem do problema envolve o tratador de URLs do Windows XP e 2003 com Internet Explorer 7. Ao repassar protocolos para o navegador Firefox (como http) ou o leitor de e-mail Thunderbird (como mailto), o tratador de URL, em determinada situação, leva indevidamente à execução de programas locais.
Independente da “responsabilidade” pelo problema ser dos programas Mozilla, como insiste em alegar o pesquisador de segurança especializado em Windows Jesper Johansson, ou da Microsoft, o fato é que a Fundação Mozilla agiu super rápido — como de costume — e já lançou uma versão impedindo a exploração maliciosa da falha nos programas Firefox e Thunderbird.
Para ficar mais seguro, atualize o navegador Firefox e o leitor de correio Thunderbird o quanto antes para a versão 2.0.0.6. Para ficar mais seguro ainda, utilize o Linux ao invés do Windows… 😉
Para saber mais:
- Secunia Advisory SA26201: Microsoft Windows URI Handling Command Execution Vulnerability.
- Remote Command Execution in FireFox et al, por Billy (BK) Rios, 24/07/07.
- Mozilla Bug 389580: some schemes with %00 launch unexpected handlers on windows.