Actualizaciones críticas para Firefox y Thunderbird

Actualizaciones críticas para Firefox y Thunderbird
	VSantivirus No 2326 Año 10, miércoles 20 de diciembre de 2006 Actualizaciones críticas para Firefox y Thunderbird http://www.vsantivirus.com/mozilla-191206.htm Por Angela Ruiz angela@videosoft.net.uy Mozilla ha publicado actualizaciones de seguridad para sus productos Firefox 2.x, Firefox 1.5.x y Thunderbird 1.5.x, y también para SeaMonkey 1.0.x. Las mismas corrigen vulnerabilidades críticas. Entre ellas se destacan algunas relacionadas con Cross-Site-Scripting (XSS), fallo que permite que un sitio web construido maliciosamente, pueda eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios. También se solucionan debilidades que provocan la fuga de información al utilizar RSS, un fallo de desbordamiento de búfer relacionado con el manejo del cursor y algunos problemas de corrupción de memoria, que permiten ganar privilegios o provocar que la aplicación deje de responder. Algunas de estas vulnerabilidades permiten la ejecución remota de código, como la que se produce en el manejo de objetos SVG. Scalable Vector Graphics (SVG) es un lenguaje para describir gráficos vectoriales bidimensionales, tanto estáticos como animados en XML (estos últimos con ayuda de SMIL, un lenguaje que permite integrar audio, video, imágenes, texto o cualquier otro contenido multimedia). El DOM (Document Object Model) es una representación en forma de objetos de la información contenida en un documento estructurado (XHTML, XML, SVG, etc.), que permite la animación directa y eficiente de los gráficos vectoriales vía scripting. La vulnerabilidad, aunque requiere la interacción con el usuario para lograrlo, puede permitir la ejecución remota de código cuando se visita una página Web maliciosa o se abre un mensaje HTML. Se recomienda permitir la actualización inmediata de los productos vulnerables, a través de la actualización automática, o en su defecto mediante la descarga de las últimas versiones. Listado de vulnerabilidades corregidas: Firefox 2.0.0.1 MFSA 2006-76 XSS using outer window's Function object www.mozilla.org/security/announce/2006/mfsa2006-76.html MFSA 2006-75 RSS Feed-preview referrer leak www.mozilla.org/security/announce/2006/mfsa2006-75.html MFSA 2006-73 Mozilla SVG Processing Remote Code Execution www.mozilla.org/security/announce/2006/mfsa2006-73.html MFSA 2006-72 XSS by setting img.src to javascript: URI www.mozilla.org/security/announce/2006/mfsa2006-72.html MFSA 2006-71 LiveConnect crash finalizing JS objects www.mozilla.org/security/announce/2006/mfsa2006-71.html MFSA 2006-70 Privilege escallation using watch point www.mozilla.org/security/announce/2006/mfsa2006-70.html MFSA 2006-69 CSS cursor image buffer overflow (Windows only) www.mozilla.org/security/announce/2006/mfsa2006-69.html MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1) www.mozilla.org/security/announce/2006/mfsa2006-68.html Firefox 1.5.0.9 MFSA 2006-75 RSS Feed-preview referrer leak www.mozilla.org/security/announce/2006/mfsa2006-75.html MFSA 2006-73 Mozilla SVG Processing Remote Code Execution www.mozilla.org/security/announce/2006/mfsa2006-73.html MFSA 2006-72 XSS by setting img.src to javascript: URI www.mozilla.org/security/announce/2006/mfsa2006-72.html MFSA 2006-71 LiveConnect crash finalizing JS objects www.mozilla.org/security/announce/2006/mfsa2006-71.html MFSA 2006-70 Privilege escallation using watch point www.mozilla.org/security/announce/2006/mfsa2006-70.html MFSA 2006-69 CSS cursor image buffer overflow (Windows only) www.mozilla.org/security/announce/2006/mfsa2006-69.html MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1) www.mozilla.org/security/announce/2006/mfsa2006-68.html Thunderbird 1.5.0.9 MFSA 2006-74 Mail header processing heap overflows www.mozilla.org/security/announce/2006/mfsa2006-74.html MFSA 2006-73 Mozilla SVG Processing Remote Code Execution www.mozilla.org/security/announce/2006/mfsa2006-73.html MFSA 2006-72 XSS by setting img.src to javascript: URI www.mozilla.org/security/announce/2006/mfsa2006-72.html MFSA 2006-71 LiveConnect crash finalizing JS objects www.mozilla.org/security/announce/2006/mfsa2006-71.html MFSA 2006-70 Privilege escallation using watch point www.mozilla.org/security/announce/2006/mfsa2006-70.html MFSA 2006-69 CSS cursor image buffer overflow (Windows only) www.mozilla.org/security/announce/2006/mfsa2006-69.html MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1) www.mozilla.org/security/announce/2006/mfsa2006-68.html SeaMonkey 1.0.7 MFSA 2006-75 RSS Feed-preview referrer leak www.mozilla.org/security/announce/2006/mfsa2006-75.html MFSA 2006-74 Mail header processing heap overflows www.mozilla.org/security/announce/2006/mfsa2006-74.html MFSA 2006-73 Mozilla SVG Processing Remote Code Execution www.mozilla.org/security/announce/2006/mfsa2006-73.html MFSA 2006-72 XSS by setting img.src to javascript: URI www.mozilla.org/security/announce/2006/mfsa2006-72.html MFSA 2006-71 LiveConnect crash finalizing JS objects www.mozilla.org/security/announce/2006/mfsa2006-71.html MFSA 2006-70 Privilege escallation using watch point www.mozilla.org/security/announce/2006/mfsa2006-70.html MFSA 2006-69 CSS cursor image buffer overflow (Windows only) www.mozilla.org/security/announce/2006/mfsa2006-69.html MFSA 2006-68 Crashes with evidence of memory corruption (rv:1.8.0.9/1.8.1.1) www.mozilla.org/security/announce/2006/mfsa2006-68.html Últimas versiones NO vulnerables: - Firefox 1.5.0.9 - Firefox 2.0.1 - SeaMonkey 1.0.7 - Thunderbird 1.5.0.9 Más información: Mozilla.org Security Center http://www.mozilla.org/security/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com