Actualizaciones para Thunderbird y SeaMonkey

Actualizaciones para Thunderbird y SeaMonkey
	VSantivirus No 2462 Año 11, sábado 2 de junio de 2007 Actualizaciones para Thunderbird y SeaMonkey http://www.vsantivirus.com/mozilla-300507.htm Por Angela Ruiz angela@videosoft.net.uy Mozilla ha publicado actualizaciones de seguridad para sus productos Thunderbird 1.5.x y Thunderbird 2.0.0.x y también para SeaMonkey 1.0.x y 1.1.x. Las nuevas versiones son identificadas como Thunderbird 2.0.0.4, Thunderbird 1.5.0.12, SeaMonkey 1.0.9 y SeaMonkey 1.1.2. Thunderbird es un popular cliente de correo de la familia Mozilla. SeaMonkey es una suite de Internet que integra navegador web, cliente de correo electrónico, libreta de contactos, editor de páginas web y cliente de IRC. Algunas de estas actualizaciones de seguridad resuelven problemas críticos y otras mejoran la estabilidad del producto. Varias de ellas son compartidas con Firefox, el cuál también fue actualizado recientemente (ver "Actualizaciones para Firefox (2.0.0.4 y 1.5.0.12)", http://www.vsantivirus.com/firefox-300507.htm) Una de las actualizaciones corrige un problema de corrupción de memoria que puede producirse bajo determinadas circunstancias, con la posibilidad de permitir la ejecución arbitraria de código. En el caso de Thunderbird, el problema ocurre si JavaScript está habilitado en el correo electrónico. Otro problema corregido tiene que ver con la seguridad en las cuentas de correo, con la posibilidad del robo de sus contraseñas debido a una debilidad en APOP. APOP es un método de autenticación en POP3 utilizado por Mozilla y otros vendedores. Los demás problemas corregidos, están relacionados con la falsificación de la información mostrada en los sitios visitados (lo que podría ser utilizado en ataques de phishing), inyección de scripts, manejo de cookies y denegación de servicio. Últimas versiones NO vulnerables: - SeaMonkey 1.0.9 - SeaMonkey 1.1.2 - Thunderbird 1.5.0.12 - Thunderbird 2.0.0.4 Descargas [actualizado 14/06/07]: Thunderbird Setup 2.0.0.4.exe (13-Jun-2007 19:47) 6.2M http://releases.mozilla.org/pub/mozilla.org/thunderbird/releases/2.0.0.4/win32/es-ES/ http://www.mozilla-europe.org/es/products/thunderbird/ http://www.mozilla.org/projects/seamonkey/ Referencias: MFSA-2007-12 - Crashes with evidence of memory corruption www.mozilla.org/security/announce/2007/mfsa2007-12.html MFSA-2007-14 - Path Abuse in Cookies www.mozilla.org/security/announce/2007/mfsa2007-14.html MFSA-2007-15 - Security Vulnerability in APOP Authentication www.mozilla.org/security/announce/2007/mfsa2007-15.html MFSA-2007-16 - XSS using addEventListener www.mozilla.org/security/announce/2007/mfsa2007-16.html MFSA-2007-17 - XUL Popup Spoofing www.mozilla.org/security/announce/2007/mfsa2007-17.html Referencias CVE: Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE: www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1362 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1558 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2867 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2868 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2870 www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2871 CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano. Más información: Known Vulnerabilities in Mozilla Products www.mozilla.org/projects/security/known-vulnerabilities.html Mozilla.org Security Center www.mozilla.org/security/ [Última modificación: 14/06/07 15:35 -0200] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com