• Registrarse
  • Iniciar sesión


  • Resultados 1 al 2 de 2

    Actualizaciones críticas para productos Mozilla

    La Fundación Mozilla ha publicado múltiples actualizaciones para Thunderbird, Seamonkey y para las dos ramas de su navegador Firefox (2.x y 3.x). Las nuevas versiones corrigen múltiples fallos de seguridad que podrían permitir salto de ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención Actualizaciones críticas para productos Mozilla

      La Fundación Mozilla ha publicado múltiples actualizaciones para Thunderbird, Seamonkey y para las dos ramas de su navegador Firefox (2.x y 3.x). Las nuevas versiones corrigen múltiples fallos de seguridad que podrían permitir salto de restricciones, revelación de información sensible, denegaciones de servicio y ejecución de código arbitrario por parte de un atacante remoto, pudiendo comprometer un sistema vulnerable.

      Las siguientes vulnerabilidades han sido calificadas como críticas por el equipo de Mozilla, ya que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.

      1- Se han corregido múltiples vulnerabilidades en los motores de navegación, diseño y JavaScript que podrían causar una corrupción de memoria, permitiendo así la ejecución de código. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

      2- Se ha descubierto que la característica de restauración de sesión podría ser utilizada para violar la política de mismo origen, permitiendo la ejecución de JavaScript en el contexto de un sitio diferente (cross-site scripting) y también con los privilegios de chrome (escalada de privilegios). Afecta a Firefox 2 y 3.

      3- Existe un error al procesar las respuestas http-index-format del tipo MIME, que podría ser aprovechado por un atacante para ejecutar código arbitrario por medio de una respuesta HTTP index especialmente manipulada.

      4- Denegación de servicio y ejecución remota de código en nsFrameManager provocado por un error de condición de carrera. El error existe cuando un método DOM de un formulario HTML específico es llamado antes de que el objeto se haya inicializado por completo. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

      5- Denegación de servicio y ejecución remota de código a través de archivos SWF, descargados dinámicamente desde una función JavaScript exterior, que podrían acceder a memoria no mapeada en el módulo Flash. Afecta a Firefox 2 y Seamonkey.

      6- Alterando el objeto window.__proto__.__proto__ es posible causar una denegación de servicio en el motor de navegación en incluso lograr la ejecución de código arbitrario. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

      También se han solventado las siguientes vulnerabilidades de un alcance menor:

      7- Revelación de información sensible de la caché local a través de accesos directos .url. Afecta a Seamonkey y Firefox 2 y 3.

      8- Escalada a privilegios de chrome a través de URI's de tipo 'file:'. Afecta a Firefox 3.

      9- Cross site scripting en "nsXMLHttpRequest::NotifyEventListeners()" que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web distinto. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

      10- Salto de restricciones y ejecución de código JavaScript a través de la propiedad "-moz-binding" de las hojas de estilo CSS. Afecta a Seamonkey y Firefox 2 y 3.

      11- Error de parseo en documentos E4X. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird.

      12- Salto de restricciones y robo de imágenes a través de elementos canvas y redirecciones HTTP. Afecta a Firefox 2, Seamonkey y Thunderbird.

      Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.18 ó 3.0.4, Thunderbird 2.0.0.18 (cuando esté disponible) y SeaMonkey 1.1.13: Mozilla | Firefox web browser & Thunderbird email client

      Recordamos que la rama de versiones 2.x de Firefox dejará de recibir soporte el próximo mes de Diciembre, por lo que se recomienda migrar a Firefox 3.x lo antes posible.



      Más Información:

      Mozilla Foundation Security Advisory 2008-52: Crashes with evidence of
      memory corruption
      MFSA 2008-52: Crashes with evidence of memory corruption (rv:1.9.0.4/1.8.1.18)

      Mozilla Foundation Security Advisory 2008-53: XSS and JavaScript
      privilege escalation via session restore
      MFSA 2008-53: XSS and JavaScript privilege escalation via session restore

      Mozilla Foundation Security Advisory 2008-54: Buffer overflow in
      http-index-format parser
      MFSA 2008-54: Buffer overflow in http-index-format parser

      Mozilla Foundation Security Advisory 2008-55: Crash and remote code
      execution in nsFrameManager
      MFSA 2008-55: Crash and remote code execution in nsFrameManager

      Mozilla Foundation Security Advisory 2008-49: Arbitrary code execution
      via Flash Player dynamic module unloading
      MFSA 2008-49: Arbitrary code execution via Flash Player dynamic module unloading

      Mozilla Foundation Security Advisory 2008-50: Crash and remote code
      execution via __proto__ tampering
      MFSA 2008-50: Crash and remote code execution via __proto__ tampering

      Mozilla Foundation Security Advisory 2008-47: Information stealing via
      local shortcut files
      MFSA 2008-47: Information stealing via local shortcut files

      Mozilla Foundation Security Advisory 2008-51: file: URIs inherit chrome
      privileges when opened from chrome
      MFSA 2008-51: file: URIs inherit chrome privileges when opened from chrome

      Mozilla Foundation Security Advisory 2008-56:
      nsXMLHttpRequest::NotifyEventListeners() same-origin violation
      MFSA 2008-56: nsXMLHttpRequest::NotifyEventListeners() same-origin violation

      Mozilla Foundation Security Advisory 2008-57: -moz-binding property
      bypasses security checks on codebase principals
      MFSA 2008-57: -moz-binding property bypasses security checks on codebase principals

      Mozilla Foundation Security Advisory 2008-58: Parsing error in E4X
      default namespace
      MFSA 2008-58: Parsing error in E4X default namespace

      Mozilla Foundation Security Advisory 2008-48: Image stealing via canvas
      and HTTP redirect
      MFSA 2008-48: Image stealing via canvas and HTTP redirect

      Fuente

    2. #2
      Usuario Avatar de Antivirusz
      Registrado
      sep 2008
      Ubicación
      Colombia
      Mensajes
      73

      Re: Actualizaciones críticas para productos Mozilla

      muy buena información,
      gracias