|
Firefox 1.5.0.2 corrige vulnerabilidades críticas
|
|
VSantivirus No. 2105 Año 10, viernes 14 de abril de 2006
Firefox 1.5.0.2 corrige vulnerabilidades críticas
http://www.vsantivirus.com/firefox-1502.htm
Por Angela Ruiz
angela@videosoft.net.uy
Múltiples vulnerabilidades que han sido reportadas en Mozilla Firefox, la mayoría de ellas críticas, son solucionadas en la versión 1.5.0.2, una actualización que agrega mejoras a la estabilidad del programa, además de corregir algunos errores que en
ciertos casos podían provocar su fallo.
La mayoría de las vulnerabilidades corregidas, podrían ser utilizados para la ejecución de código, incluso de forma remota, o para habilitar la ejecución de scripts (archivos de comandos).
Un atacante podría obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado, o acceder a información confidencial.
Vulnerabilidades corregidas:
- Referencia: Mozilla Foundation Security Advisory 2006-20
Una vulnerabilidad crítica causada por HTML Dinámico (DHTML), puede provocar la corrupción de la memoria operativa del programa, lo que podría ser explotado para la ejecución arbitraria de código. Ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.
- Referencia: Mozilla Foundation Security Advisory 2006-22
Una vulnerabilidad crítica provocada por un desbordamiento de entero en el manejo de las propiedades de las hojas de estilo, puede corromper la memoria utilizada por el programa y permitir a un atacante la ejecución de código. Corregida en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.
- Referencia: Mozilla Foundation Security Advisory 2006-23
Una vulnerabilidad de impacto alto que permite que el contenido de una ventana de ingreso de datos mantenga su contenido, puede permitir a un sitio web malicioso robar archivos locales conocidos. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.
- Referencia: Mozilla Foundation Security Advisory 2006-24
Una vulnerabilidad crítica en el método "crypto.generateCRMFRequest" puede ser utilizada para la ejecución arbitraria de código con los privilegios del usuario actual, lo que puede permitir la instalación de malware. Solucionada en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.
- Mozilla Foundation Security Advisory 2006-25
Existe una vulnerabilidad crítica que permite el uso de scripts en un control XBL para obtener los mismos privilegios de archivos "chrome" cuando se utiliza la vista previa de impresión de la página (los archivos chrome contienen todos los componentes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).
El problema ha sido corregido en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.
- Mozilla Foundation Security Advisory 2006-27
Existe una vulnerabilidad crítica en un ordenamiento incorrecto de ciertos índices cuando se manejan etiquetas, que puede utilizar memoria no válida, facilitando a un atacante la ejecución de código. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.
- Mozilla Foundation Security Advisory 2006-28
Un control de seguridad en "js_ValueToFunctionObject()" que puede ser eludido por el uso de la función "setTimeout()", permite a un atacante la elevación de privilegios, habilitando la instalación de código malicioso. Esta vulnerabilidad está catalogada como crítica, y ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.
- Mozilla Foundation Security Advisory 2006-29
Una interacción entre contenido XUL y el nuevo historial de Firefox 1.5, puede ser utilizado por un atacante para construir contenido engañoso que lleve al usuario a ejecutar código. La vulnerabilidad es crítica, y ha sido solucionada en Firefox 1.5.0.2 y SeaMonkey 1.0.1.
XUL (eXtensible User-Interface Language), desarrollado por Mozilla y Netscape, consiste en una serie de marcadores XML que permiten el intercambio de datos de la interfase de usuario entre distintas plataformas operativas.
Software vulnerable:
- Mozilla Firefox 1.5.0.1 y anteriores
Software NO vulnerable:
- Mozilla Firefox 1.5.0.2
Solución
Actualizarse a las versiones no vulnerables, desde el siguiente enlace:
Mozilla Firefox 1.5.0.2 (en español) o superior
http://www.mozilla-europe.org/es/products/firefox/
Referencias
Mozilla Foundation Security Advisory 2006-20
Crashes with evidence of memory corruption (rv:1.8.0.2)
www.mozilla.org/security/announce/2006/mfsa2006-20.html
Mozilla Foundation Security Advisory 2006-22
CSS Letter-Spacing Heap Overflow Vulnerability
www.mozilla.org/security/announce/2006/mfsa2006-22.html
Mozilla Foundation Security Advisory 2006-23
File stealing by changing input type
www.mozilla.org/security/announce/2006/mfsa2006-23.html
Mozilla Foundation Security Advisory 2006-24
Privilege escalation using crypto.generateCRMFRequest
www.mozilla.org/security/announce/2006/mfsa2006-24.html
Mozilla Foundation Security Advisory 2006-25
Privilege escalation through Print Preview
www.mozilla.org/security/announce/2006/mfsa2006-25.html
Mozilla Foundation Security Advisory 2006-27
Table Rebuilding Code Execution Vulnerability
www.mozilla.org/security/announce/2006/mfsa2006-27.html
Mozilla Foundation Security Advisory 2006-28
Security check of js_ValueToFunctionObject() can be circumvented
www.mozilla.org/security/announce/2006/mfsa2006-28.html
Mozilla Foundation Security Advisory 2006-29
Spoofing with translucent windows
www.mozilla.org/security/announce/2006/mfsa2006-29.html
Relacionados
Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/productos/descargas.php
Firefox
http://www.mozilla.org/products/firefox/
http://www.mozilla-europe.org/es/products/firefox/
Mozilla Suite
http://www.mozilla.org/products/mozilla1.x/
http://www.mozilla-europe.org/es/products/mozilla1x/
Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/products/thunderbird/
SeaMonkey
http://www.mozilla.org/projects/seamonkey/
http://nave.escomposlinux.org/productos/seamonkey/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
|
|