- Vulnerabilidad en el administrador de certificados de Mozilla -
Oxygen3 24h-365d, por Panda Software (
http://www.pandasoftware.es)
Madrid, 19 de julio de 2004 - Según ha publicado Securitytracker en
http://www.securitytracker.com/alerts/2004/Jul/1010714.html existe una
vulnerabilidad de denegación de servicio en Mozilla que reside en la forma
en que se importan los certificados.
Debido a este problema de seguridad, un usuario remoto puede provocar que se
importe -de forma transparente y sin conocimiento del usuario- un
certificado raíz no válido, lo que puede tener como consecuencia una
denegación de servicio en conexiones SSL.
Un atacante remoto podría aprovechar esta vulnerabilidad mediante el envío
de un mensaje de correo electrónico especialmente codificado, para conseguir
que un certificado malicioso sobrescriba el certificado raíz CA (Certificate
Authority) en el navegador del usuario.
Si el certificado malicioso tiene el mismo nombre que el certificado
objetivo, la consecuencia es la aparición de un mensaje de error (error
-8182) en el sistema del usuario cuando se intente acceder a URLs HTTP a
través de Mozilla.
