Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Múltiples vulnerabilidades en Mozilla
 
VSantivirus No. 1491 Año 8, jueves 5 de agosto de 2004

 Múltiples vulnerabilidades en Mozilla
http://www.vsantivirus.com/vul-mozilla-multiples.htm

Por Angela Ruiz
angela@videosoft.net.uy

Según informa Secunia, Mozilla.org, ha liberado detalles acerca de algunas viejas vulnerabilidades descubiertas en sus productos Mozilla, Mozilla Firefox, y Thunderbird, todas ellas críticas.

Los fallos pueden ser explotados por personas maliciosas para realizar ataques basados en spoofing (falsificación de direcciones), comprometer un sistema vulnerable, o causar una denegación de servicio (DoS).

Algunas de las vulnerabilidades conocidas:

1. Servidores POP3 maliciosos, pueden causar en Mozilla, un desbordamiento del área de memoria dinámica de los programas (HEAP overflow), obteniendo acceso al sistema.

2. Una página maliciosa puede aparecer como encriptada y presentar el certificado de otro sitio para autenticarse.

3. Mozilla no comprueba si las credenciales almacenadas deben ser utilizadas para una conexión HTTPS o HTTP. Potencialmente esto puede permitir que las contraseñas puedan ser enviadas desencriptadas en una conexión HTTP (al contrario de una conexión HTTPS, que envía estos datos en forma encriptada como seguridad).

4. La certificación de nombres se hace insegura para nombres de dominio sin calificar (FQDN, Fully Qualified Domain Name), lo que puede ser utilizado en un ataque basado en spoofing (falsificación de la dirección IP de origen en los paquetes o mensajes enviados).

5. Sitios web maliciosos pueden interferir con las operaciones de otras ventanas y causar una denegación de servicio (la ventana de otro programa puede dejar de responder). Sin embargo, no es posible usar esto para alterar o leer alguna clase de datos del equipo afectado.

6. Los usuarios pueden ser engañados para que arrastren textos sobre controles de descarga no visibles, resultando en el robo de archivos locales desde ubicaciones conocidas.

7. La librería PNG (libpng) contiene una vulnerabilidad de lectura "out-of-bounds" (fuera de los parámetros establecidos), que puede ser explotada por un usuario malicioso para causar una denegación de servicio (DoS).

Otras viejas vulnerabilidades también han sido reportadas, todas ellas afectan a las versiones anteriores a las siguientes:
  • Mozilla 1.7
  • Firefox 0.9
  • Thunderbird 0.7

Todos estos agujeros fueron solucionados por Mozilla.org, sin embargo los detalles de estas vulnerabilidades, existentes desde hace tiempo, no habían sido revelados hasta ahora.

Para no ser afectado por estos fallos, actualice la versión de su software a cualquiera igual o superior a las indicadas (Mozilla 1.7 o superior, Firefox 0.9 o superior, Thunderbird 0.7 o superior).


Más información:

Mozilla Multiple Vulnerabilities
http://secunia.com/advisories/10856/


Otras referencias:

http://bugzilla.mozilla.org/show_bug.cgi?id=229374
http://bugzilla.mozilla.org/show_bug.cgi?id=240053
http://bugzilla.mozilla.org/show_bug.cgi?id=226278
http://bugzilla.mozilla.org/show_bug.cgi?id=234058
http://bugzilla.mozilla.org/show_bug.cgi?id=86028
http://bugzilla.mozilla.org/show_bug.cgi?id=206859
http://bugzilla.mozilla.org/show_bug.cgi?id=242915





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS