Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Netscape 8.0.4 actualiza todos los parches de Firefox
 
VSantivirus No. 1931 Año 9, jueves 20 de octubre de 2005

Netscape 8.0.4 actualiza todos los parches de Firefox
http://www.vsantivirus.com/netscape-804.htm

Por Angela Ruiz
angela@videosoft.net.uy


Netscape ha realizado una nueva versión de su navegador, que se pone al día con todos los parches de seguridad incluidos en todas las versiones de Firefox, hasta la 1.0.7 inclusive.

Netscape utiliza el motor de Firefox, además del incluido en Windows (Internet Explorer).

La nueva versión, identificada como 8.0.4, está disponible en el siguiente enlace:

http://browser.netscape.com/ns8/download/default.jsp

La mayoría de las vulnerabilidades ahora corregidas, pueden ser utilizadas para la ejecución remota de código, o para eludir las políticas de acceso y escalar privilegios. También habilitan la ejecución de scripts (archivos de comandos).

Un atacante puede obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado.

Estas vulnerabilidades también permiten a un atacante robar cookies, o acceder a otra información confidencial.

Entre las múltiples vulnerabilidades críticas corregidas, se incluye la solución para la vulnerabilidad causada por un desbordamiento de búfer (IDN buffer overflow), en la función "NormalizeIDN", cuando se procesan ciertas URIs especialmente modificadas.

Este problema tiene que ver con la forma en que el navegador maneja los nombres de dominio internacionales, norma conocida como IDN por las siglas en inglés de "International Domain Name", que permite la utilización de caracteres ASCII como la "eñe" por ejemplo, en los nombres de dominios.

Soluciona el problema que ocasiona que el programa deje de responder cuando se carga un script del Proxy Auto-Config (PAC), que utilice un parámetro "eval".

Corrige la regresión a una vulnerabilidad en la función InstallTrigger.getVersion() que daba un error de 
escritura (usada para obtener el número de versión).

* Otras vulnerabilidades corregidas:

Una corrupción que provoca un cuelgue del programa cuando se manejan ciertas secuencias de código Unicode ("zero-width non-joiner")

Un problema con el manejo de cabezales malformados en peticiones XMLHttpRequest que permite engañar a un servidor o a un proxy. Esto permite por ejemplo, leer archivos en el servidor de una intranet a través del cortafuegos.

Posibilidad de realizar spoofing (falsificación de la dirección IP de origen en los paquetes enviados), mediante un control XBL (XBL (eXtensible Bindings Language).

Desbordamiento de entero (integer overflow) en el motor JavaScript. Un "integer overflow" ocurre cuando una variable definida como entera, sobrepasa los valores asignados. Esta vulnerabilidad permite la ejecución arbitraria de código de forma remota.

Escalada de privilegios utilizando "about:". El fallo permite eludir las restricciones para descargar archivos "chrome" (este tipo de archivo contiene todas las partes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

Una vulnerabilidad relacionada con archivos "chrome", que facilita los ataques del tipo phishing (obtener información mediante la suplantación de una persona o institución legítima). 


Software vulnerable:

- Netscape Browser 6.x
- Netscape Browser 7.x
- Netscape Browser 8.0
- Netscape Browser 8.0.1
- Netscape Browser 8.0.2
- Netscape Browser 8.0.3
- Netscape Browser 8.0.3.3


Software NO vulnerable:

- Netscape Browser 8.0.4


Solución:

Actualizarse a la versión no vulnerable, desde el siguiente enlace:

http://browser.netscape.com/ns8/download/default.jsp


Más información:

Mozilla Foundation Security Advisory 2005-58
http://www.mozilla.org/security/announce/mfsa2005-58.html


Relacionados

Netscape Security Alerts
http://browser.netscape.com/ns8/security/alerts.jsp

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2005 Video Soft BBS