• Diversas Vulnerabilidades Encontradas no Moonlight

    Segundo declarações prestadas pela Secunia, algumas vulnerabilidades foram reportadas no Moonlight, que podem ser exploradas por usuários maliciosos para divulgar informações potencialmente confidenciais, ignorando recursos de segurança e assim, comprometendo um sistema do usuário.

    A implementação RuntimeHelpers.InitializeArray não restringe adequadamente a alteração de "valores somente leitura", que pode ser explorada acidentalmente, por plug-ins ou corromper o gerenciador de segurança, além de ignorar as limitações sandboxing do Moonlight.

    Uma condição na implementação do Array.Copy "FastCopy", também pode ser explorada caso haja problemas nos plug-ins ou se o gerenciador de segurança for corrompido. Outra situação que propicia a ação de atacantes, está relacionada com um erro na implementação Moonlight's "DynamicMethod resurrection" que pode ser explorada para realizar uma condição use-after-free.

    Há também um erro ao liberar instâncias não gerenciadas no MonoThread, que podem ser exploradas, por exemplo, com a divulgação de informações potencialmente sensíveis. As vulnerabilidades são relatados em versões o ramo 2.x do Moonlight, anteriores à versão 2.4.1.


    Saiba Mais:

    [1] Multiple Vulnerabilities in Moonlight: http://www.net-security.org/secworld.php?id=10864


Visite: BR-Linux ·  VivaOLinux ·  Dicas-L