Thunderbird 2.0.0.12 corrige varias vulnerabilidades

Thunderbird 2.0.0.12 corrige varias vulnerabilidades
	VSantivirus No 2651 Año 11, miércoles 27 de febrero de 2008 Thunderbird 2.0.0.12 corrige varias vulnerabilidades http://www.vsantivirus.com/thunderbird-260208.htm Por Angela Ruiz angela@videosoft.net.uy Aunque con atraso, ha aparecido la actualización de seguridad 2.0.0.12 para Thunderbird, anunciada en los boletines de Mozilla al publicar la última versión de Firefox, hace dos semanas, ya que muchas de las vulnerabilidades eran compartidas con el navegador. Thunderbird es el popular cliente de correo basado en los productos de la familia Mozilla, el cuál ha sido desatendido últimamente por la compañía. La actualización resuelve vulnerabilidades que nunca fueron arregladas en la versión 1.5 (tampoco en las posteriores), además de corregir 6 nuevas, 5 de ellas compartidas con Firefox. De estas 6, 3 son críticas, 2 moderadas y 1 de riesgo alto. Una de las vulnerabilidades críticas, está relacionada con un desbordamiento de búfer que afecta la memoria dinámica del programa, cuando se intenta visualizar un correo electrónico con un formato MIME modificado, y que puede permitir la ejecución remota de código. Otra vulnerabilidad crítica corregida, puede permitir la ejecución de código a partir de un JavaScript malicioso invocado en el correo electrónico o en un enlace embebido en él. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo. Otros dos problemas corregidos, están relacionados con la posibilidad de que un script se ejecute con privilegios elevados, pudiendo permitir el ingreso a códigos maliciosos. Thunderbird también es vulnerable al agujero de seguridad que afecta a todos los usuarios que hayan instalado ciertas extensiones de Firefox que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR. La nueva versión corrige el problema. Uno de los boletines, que no estuvo disponible de inmediato cuando se publicó Firefox 2.0.0.12 (el MFSA 2008-07), menciona otra de las vulnerabilidades ahora corregida por Thunderbird. La misma está relacionada con la revelación de información sensible a partir de imágenes BMP. Este problema es compartido por otros productos y fabricantes (por ejemplo Opera). NOTA 02/03/08: Mozilla actualizó recientemente su página web en relación a su alerta de seguridad MFS2008-07. Allí se incluía a Thunderbird como afectado por la vulnerabilidad en archivos BMP. Thunderbird carece de la funcionalidad necesaria para que este fallo lo afecte. Más información: http://www.mozilla.org/security/announce/2008/mfsa2008-07.html Una vulnerabilidad menos crítica, involucra técnicas que permiten engañar al usuario para permitir otras clases de ataques. La corrupción de archivos locales también es posible. Son vulnerables las versiones 2.0.0.9 y anteriores (las versiones 2.0.0.10 y 2.0.0.11 nunca fueron publicadas). Última versión NO vulnerable: - Thunderbird 2.0.0.12 Descarga de Firefox 2.0.0.12 en español: http://tinyurl.com/2a5h23 http://www.mozilla-europe.org/es/products/thunderbird/ Referencias: MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12) http://www.mozilla.org/security/announce/2008/mfsa2008-01.html MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution http://www.mozilla.org/security/announce/2008/mfsa2008-03.html MFSA 2008-05 Directory traversal via chrome: URI http://www.mozilla.org/security/announce/2008/mfsa2008-05.html MFSA 2008-07 Possible information disclosure in BMP decoder http://www.mozilla.org/security/announce/2008/mfsa2008-07.html MFSA 2008-08 File action dialog tampering http://www.mozilla.org/security/announce/2008/mfsa2008-08.html MFSA 2008-12 Heap buffer overflow in external MIME bodies http://www.mozilla.org/security/announce/2008/mfsa2008-12.html Relacionados: Firefox 2.0.0.12 soluciona múltiples fallos http://www.vsantivirus.com/firefox-2-0-0-12.htm Opera soluciona problemas y critica a Mozilla http://www.vsantivirus.com/opera-926.htm Más información: Known Vulnerabilities in Mozilla Products www.mozilla.org/projects/security/known-vulnerabilities.html Mozilla.org Security Center www.mozilla.org/security/ [Última modificación: 02/03/08 19:17 -0300] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com