|
Netscape 8.0.3.3 actualiza todos los parches de Firefox
|
|
VSantivirus No. 1864 Año 9, domingo 14 de agosto de 2005
Netscape 8.0.3.3 actualiza todos los parches de Firefox
http://www.vsantivirus.com/netscape-8033.htm
Por Angela Ruiz
angela@videosoft.net.uy
Netscape ha realizado una nueva versión de su navegador, para ponerse al día con todos los parches de seguridad incluidos en todas las versiones de Firefox, hasta la 1.0.6 inclusive.
Netscape utiliza el motor de Firefox, además del incluido en Windows (Internet Explorer).
La nueva versión, identificada como 8.0.3.3, está disponible en el siguiente enlace:
http://browser.netscape.com/ns8/download/default.jsp
La mayoría de las vulnerabilidades ahora corregidas, pueden ser utilizadas para la ejecución remota de código, o para eludir las políticas de acceso y escalar privilegios. También habilitan la ejecución de scripts (archivos de comandos).
Un atacante puede obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado.
Estas vulnerabilidades también permiten a un atacante robar cookies, o acceder a otra información confidencial.
Esta es la cuarta actualización de Netscape 8.0, desde que fuera lanzado hace solo tres meses (mayo de 2005).
Netscape es una división de America Online, una filial de Time Warner.
* Listado de vulnerabilidades corregidas
* Ejecución de código vía "shared function objects"
Referencia: Mozilla Foundation Security Advisory 2005-56
Una vulnerabilidad crítica en la clonación impropia de objetos permite que un sitio web mediante un script pueda ejecutar código con los máximos privilegios en el equipo de su víctima.
* XHTML node spoofing
Referencia: Mozilla Foundation Security Advisory 2005-55
Un documento HTML podría ser utilizado para crear falsos elementos <IMG> que podrían utilizarse para instalar software malicioso en la máquina de la víctima.
* Spoofing en avisos de Javascript
Referencia: Mozilla Foundation Security Advisory 2005-54
Las ventanas de alerta y los avisos creados por scripts en páginas web, se presentan al usuario con un título genérico, que puede hacer difícil identificar si fueron creados por el mismo sitio, o por un sitio malicioso, el cuál podría aprovecharse de esto para mostrar un aviso sobre el contenido verdadero de una página de confianza, haciendo que el usuario ingrese en ellos información comprometedora. La actualización hace que estos avisos muestren el nombre del sitio que los genera.
* Aplicaciones independientes pueden ejecutar código a través del navegador
Referencia: Mozilla Foundation Security Advisory 2005-53
Algunos reproductores multimedia que soportan scripts, por ejemplo Flash y QuickTime, poseen la habilidad de abrir direcciones (URLs) en el navegador por defecto. Cuando ello sucede, el navegador puede llegar a mostrar un contenido externo diferente al de la página que el usuario cree estar visitando, con la posibilidad de que un usuario malicioso se aproveche de este comportamiento para robar información confidencial como cookies de acceso o contraseñas, o hasta ejecutar código de forma arbitraria.
* Vulnerabilidad en marcos [top.focus()]
Referencia: Mozilla Foundation Security Advisory 2005-52
Un atacante podría utilizar maliciosamente páginas con marcos para esconder el verdadero origen de determinadas ventanas, con la posibilidad de robar cookies y contraseñas del usuario, o para suplantarlo.
* El retorno del "frame-injection spoofing"
Referencia: Mozilla Foundation Security Advisory 2005-51
El problema se produce porque el navegador falla al intentar impedir que un sitio web malicioso cargue contenido en un marco al azar de otra ventana. Esta vulnerabilidad había sido solucionada en versiones anteriores, pero por error había reaparecido en las últimas versiones.
* Vulnerabilidad en "InstallVersion.compareTo"
Referencia: Mozilla Foundation Security Advisory 2005-50
Esta vulnerabilidad podría hacer que el navegador deje de responder, causando una violación de acceso. Un atacante podría llegar incluso a ejecutar código de forma arbitraria, aunque las posibilidades de lograrlo exitosamente son escasas.
* Inyección de script desde barra lateral de Firefox
Referencia: Mozilla Foundation Security Advisory 2005-49
La falta de un control de seguridad permite que un sitio pueda inyectar desde la barra lateral del navegador, un script malicioso en cualquier página abierta en el navegador. Esto puede permitir el robo de cookies, contraseñas, o cualquier otra información sensible.
* Infracción en función "InstallTrigger.install()"
Referencia: Mozilla Foundation Security Advisory 2005-48
Cuando se utiliza la función "InstallTrigger.install()" para iniciar una instalación, se puede forzar la navegación a una nueva página que se ejecutará en el contexto de la página anterior. Un script podría ejecutarse para robar contraseñas y cookies, o realizar las mismas acciones que el usuario lleve a cabo en el sitio que visitaba.
* Ejecución de código vía "Set as Wallpaper"
Referencia: Mozilla Foundation Security Advisory 2005-47
Si un atacante convence a su víctima a utilizar la opción del menú contextual "Set As Wallpaper" (establecer como imagen de fondo), puede llegar a ejecutar código en forma arbitraria en el equipo del usuario, si el archivo a utilizar ha sido modificado maliciosamente.
Software vulnerable:
- Netscape Browser 6.x
- Netscape Browser 7.x
- Netscape Browser 8.0
- Netscape Browser 8.0.1
- Netscape Browser 8.0.2
Software NO vulnerable:
- Netscape Browser 8.0.3.3
Solución:
Actualizarse a la versión no vulnerable, desde el siguiente enlace:
http://browser.netscape.com/ns8/download/default.jsp
Referencias
Mozilla Foundation Security Advisory 2005-56
Title: Code execution through shared function objects
http://www.mozilla.org/security/announce/mfsa2005-56.html
Mozilla Foundation Security Advisory 2005-55
Title: XHTML node spoofing
http://www.mozilla.org/security/announce/mfsa2005-55.html
Mozilla Foundation Security Advisory 2005-54
Title: Javascript prompt origin spoofing
http://www.mozilla.org/security/announce/mfsa2005-54.html
Mozilla Foundation Security Advisory 2005-53
Title: Standalone applications can run arbitrary code through the browser
http://www.mozilla.org/security/announce/mfsa2005-53.html
Mozilla Foundation Security Advisory 2005-52
Title: Same origin violation: frame calling top.focus()
http://www.mozilla.org/security/announce/mfsa2005-52.html
Mozilla Foundation Security Advisory 2005-51
Title: The return of frame-injection spoofing
http://www.mozilla.org/security/announce/mfsa2005-51.html
Mozilla Foundation Security Advisory 2005-50
Title: Possibly exploitable crash in InstallVersion.compareTo
http://www.mozilla.org/security/announce/mfsa2005-50.html
Mozilla Foundation Security Advisory 2005-49
Title: Script injection from Firefox sidebar panel using data:
http://www.mozilla.org/security/announce/mfsa2005-49.html
Mozilla Foundation Security Advisory 2005-48
Title: Same-origin violation with InstallTrigger callback
http://www.mozilla.org/security/announce/mfsa2005-48.html
Mozilla Foundation Security Advisory 2005-47
Title: Code execution via "Set as Wallpaper"
http://www.mozilla.org/security/announce/mfsa2005-47.html
Relacionados
Netscape Security Alerts
http://browser.netscape.com/ns8/security/alerts.jsp
Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|