Denegación de servicio en Mozilla Thunderbird 1.5

ozilla Thunderbird es un gestor de correo alternativo conocido por su estabilidad, seguridad y fiabilidad. La vulnerabilidad se encuentra en la libreta de direcciones del programa, ya que Thunderbird permite que los campos a completar tengan un tamaño ilimitado. Si los datos ingresados son considerablemente grandes, pueden provocar que se genere un DoS en la aplicación, cuando ésta intente procesar dicha información, según publica VSantivirus.

Existe una prueba de concepto (PoC), creada por DrFrancky, la cuál permite demostrar el funcionamiento de la vulnerabilidad.

Si bien por el momento se trata de un simple DoS (el programa solo deja de responder), cuyo único peligro inmediato podría ser la perdida de algún dato ingresado recientemente, no debemos descuidar el hecho de que en muchas ocasiones este tipo de vulnerabilidad puede derivar en la ejecución arbitraria de código por parte de un atacante.


Versiones afectadas:

Hasta el momento la vulnerabilidad ha sido comprobada en las siguientes versiones:

- Mozilla Thunderbird 1.5 (Windows)
- Mozilla Thunderbird 1.0 (Windows)

Otras versiones también podrían ser afectadas.


Soluciones:

Al momento de esta alerta, no se conocen comentarios por parte del equipo de desarrollo de Mozilla Thunderbird.


Relacionados:

Mozila Thunderbird 1.5 Address Book DoS
http://www.securityfocus.com/archive/1/425602/30/0/threaded

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/products/thunderbird/