Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Firefox 1.5.0.2 corrige vulnerabilidades críticas
 
VSantivirus No. 2105 Año 10, viernes 14 de abril de 2006

Firefox 1.5.0.2 corrige vulnerabilidades críticas
http://www.vsantivirus.com/firefox-1502.htm

Por Angela Ruiz
angela@videosoft.net.uy


Múltiples vulnerabilidades que han sido reportadas en Mozilla Firefox, la mayoría de ellas críticas, son solucionadas en la versión 1.5.0.2, una actualización que agrega mejoras a la estabilidad del programa, además de corregir algunos errores que en ciertos casos podían provocar su fallo.

La mayoría de las vulnerabilidades corregidas, podrían ser utilizados para la ejecución de código, incluso de forma remota, o para habilitar la ejecución de scripts (archivos de comandos).

Un atacante podría obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado, o acceder a información confidencial.


Vulnerabilidades corregidas:

- Referencia: Mozilla Foundation Security Advisory 2006-20

Una vulnerabilidad crítica causada por HTML Dinámico (DHTML), puede provocar la corrupción de la memoria operativa del programa, lo que podría ser explotado para la ejecución arbitraria de código. Ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.

- Referencia: Mozilla Foundation Security Advisory 2006-22

Una vulnerabilidad crítica provocada por un desbordamiento de entero en el manejo de las propiedades de las hojas de estilo, puede corromper la memoria utilizada por el programa y permitir a un atacante la ejecución de código. Corregida en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Referencia: Mozilla Foundation Security Advisory 2006-23

Una vulnerabilidad de impacto alto que permite que el contenido de una ventana de ingreso de datos mantenga su contenido, puede permitir a un sitio web malicioso robar archivos locales conocidos. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Referencia: Mozilla Foundation Security Advisory 2006-24

Una vulnerabilidad crítica en el método "crypto.generateCRMFRequest" puede ser utilizada para la ejecución arbitraria de código con los privilegios del usuario actual, lo que puede permitir la instalación de malware. Solucionada en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-25

Existe una vulnerabilidad crítica que permite el uso de scripts en un control XBL para obtener los mismos privilegios de archivos "chrome" cuando se utiliza la vista previa de impresión de la página (los archivos chrome contienen todos los componentes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

El problema ha sido corregido en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-27

Existe una vulnerabilidad crítica en un ordenamiento incorrecto de ciertos índices cuando se manejan etiquetas, que puede utilizar memoria no válida, facilitando a un atacante la ejecución de código. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-28

Un control de seguridad en "js_ValueToFunctionObject()" que puede ser eludido por el uso de la función "setTimeout()", permite a un atacante la elevación de privilegios, habilitando la instalación de código malicioso. Esta vulnerabilidad está catalogada como crítica, y ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.

- Mozilla Foundation Security Advisory 2006-29

Una interacción entre contenido XUL y el nuevo historial de Firefox 1.5, puede ser utilizado por un atacante para construir contenido engañoso que lleve al usuario a ejecutar código. La vulnerabilidad es crítica, y ha sido solucionada en Firefox 1.5.0.2 y SeaMonkey 1.0.1.

XUL (eXtensible User-Interface Language), desarrollado por Mozilla y Netscape, consiste en una serie de marcadores XML que permiten el intercambio de datos de la interfase de usuario entre distintas plataformas operativas.


Software vulnerable:

- Mozilla Firefox 1.5.0.1 y anteriores


Software NO vulnerable:

- Mozilla Firefox 1.5.0.2


Solución

Actualizarse a las versiones no vulnerables, desde el siguiente enlace:

Mozilla Firefox 1.5.0.2 (en español) o superior
http://www.mozilla-europe.org/es/products/firefox/


Referencias

Mozilla Foundation Security Advisory 2006-20
Crashes with evidence of memory corruption (rv:1.8.0.2)
www.mozilla.org/security/announce/2006/mfsa2006-20.html

Mozilla Foundation Security Advisory 2006-22
CSS Letter-Spacing Heap Overflow Vulnerability
www.mozilla.org/security/announce/2006/mfsa2006-22.html

Mozilla Foundation Security Advisory 2006-23
File stealing by changing input type
www.mozilla.org/security/announce/2006/mfsa2006-23.html

Mozilla Foundation Security Advisory 2006-24
Privilege escalation using crypto.generateCRMFRequest
www.mozilla.org/security/announce/2006/mfsa2006-24.html

Mozilla Foundation Security Advisory 2006-25
Privilege escalation through Print Preview
www.mozilla.org/security/announce/2006/mfsa2006-25.html

Mozilla Foundation Security Advisory 2006-27
Table Rebuilding Code Execution Vulnerability
www.mozilla.org/security/announce/2006/mfsa2006-27.html

Mozilla Foundation Security Advisory 2006-28
Security check of js_ValueToFunctionObject() can be circumvented
www.mozilla.org/security/announce/2006/mfsa2006-28.html

Mozilla Foundation Security Advisory 2006-29
Spoofing with translucent windows
www.mozilla.org/security/announce/2006/mfsa2006-29.html


Relacionados

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/productos/descargas.php

Firefox
http://www.mozilla.org/products/firefox/
http://www.mozilla-europe.org/es/products/firefox/

Mozilla Suite
http://www.mozilla.org/products/mozilla1.x/
http://www.mozilla-europe.org/es/products/mozilla1x/

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/products/thunderbird/

SeaMonkey
http://www.mozilla.org/projects/seamonkey/
http://nave.escomposlinux.org/productos/seamonkey/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS