Firefox 2.0.0.12 soluciona múltiples fallos


Mozilla ha publicado Firefox 2.0.0.12 y una nueva versión de SeaMonkey (la 1.1.8). Y aunque la anuncia en sus alertas de seguridad como 2.0.0.12, brilla por su ausencia la nueva versión de Thunderbird.






La nueva versión del navegador, corrige al menos 10 vulnerabilidades, tres de ellas catalogadas como críticas.

La primera de éstas, identificada como MFSA 2008-01, involucra una serie de errores que provocan la corrupción de la memoria operativa, con la posibilidad de ejecución de código a través de un código que explote alguno de esos fallos a través de un JavaScript malicioso.

El problema también afecta a Thunderbird y SeaMonkey, ya que comparten el motor con el navegador Firefox. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo.

La segunda vulnerabilidad crítica (MFSA 2008-03), son en realidad dos errores que podrían permitir que un script se ejecute con privilegios elevados. Esto significa que una página podría abrir la puerta a códigos maliciosos por solo visitarla. Thunderbird 2.0.0.12 y SeaMonkey 1.1.8 también corrigen estos problemas.

La última de las vulnerabilidades críticas, MFSA 2008-06, permite tanto la divulgación de información del usuario afectado, como un posible cuelgue del programa, y no se descarta la ejecución no deseada de código.

Una vulnerabilidad de impacto alto (un punto menor a crítico según los estándares de Mozilla), está descripta en la alerta de seguridad MFSA 2008-05. El problema afecta a todos los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR.

Es difícil decir la cantidad de problemas que esta clase de vulnerabilidad puede ocasionar. La misma fue comentada en VSAntivirus hace unas semanas. También afecta a Thunderbird y SeaMonkey.

Tres vulnerabilidades de impacto moderado (MFSA 2008-02, MFSA 2008-04, y MFSA 2008-08), involucra técnicas que permiten engañar al usuario y la corrupción de archivos locales. Thunderbird 2.0.0.12 y SeaMonkey 1.1.8 corregirían también algunos de estos problemas.

Otras tres vulnerabilidades marcadas como de bajo impacto, reflejan varios problemas de comportamiento que pueden confundir a un usuario o impedir el uso del programa (MFSA 2008-09, MFSA 2008-10, MFSA 2008-11). Las dos primeras también afectan a SeaMonkey.

Como curiosidad, si bien algunas de estas vulnerabilidades estarían solucionadas también en Thunderbird 2.0.0.12 como se dijo más arriba, en realidad la última versión conocida de este cliente de correo es la 2.0.0.9, liberada en noviembre de 2007.

Todas las variantes no finales de Thunderbird (las "nightly builds", o sea las versiones de prueba, con mejoras cada noche), son únicamente para la versión 3.0 beta. La última de la serie 1.5 es la 1.5.0.14 liberada en diciembre pasado, que ya no tendrá más actualizaciones.

También resulta curioso la no existencia de la alerta de seguridad MFSA 2008-07.

* Última versión NO vulnerable:

- Firefox 2.0.0.12

* Descarga de Firefox 2.0.0.12 en español:

http://www.mozilla-europe.org/es/products/firefox/


* Referencias:

MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12)
http://www.mozilla.org/security/announce/2008/mfsa2008-01.html

MFSA 2008-02 Multiple file input focus stealing vulnerabilities
http://www.mozilla.org/security/announce/2008/mfsa2008-02.html

MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution
http://www.mozilla.org/security/announce/2008/mfsa2008-03.html

MFSA 2008-04 Stored password corruption
http://www.mozilla.org/security/announce/2008/mfsa2008-04.html

MFSA 2008-05 Directory traversal via chrome: URI
http://www.mozilla.org/security/announce/2008/mfsa2008-05.html

MFSA 2008-06 Web browsing history and forward navigation stealing
http://www.mozilla.org/security/announce/2008/mfsa2008-06.html

MFSA 2008-08 File action dialog tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-08.html

MFSA 2008-09 Mishandling of locally-saved plain text files
http://www.mozilla.org/security/announce/2008/mfsa2008-09.html

MFSA 2008-10 URL token stealing via stylesheet redirect
http://www.mozilla.org/security/announce/2008/mfsa2008-10.html

MFSA 2008-11 Web forgery overwrite with div overlay
http://www.mozilla.org/security/announce/2008/mfsa2008-11.html


* Relacionados:

Mozilla eleva nivel de alerta para fallo en Firefox
http://www.vsantivirus.com/30-01-07.htm

Vulnerabilidad en protocolo Chrome de Firefox
http://www.vsantivirus.com/vul-firefox-chrome-190108.htm


* Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/

Fuente:
Por Redacción VSAntivirus
http://www.vsantivirus.com



Otras noticias de interés:

Microsoft pide tregua a Linux en vídeo
Cuando se piensa que ya se ha visto todo, aparece esto. Microsoft felicita a Linux en su 20 aniversario enviando un vídeo en el que hace un recorrido por sus relaciones y tiende la mano hacia una tregua entre sistemas....
Botnets: la caza se extiende al teléfono móvil
Las terminales móviles son vulnerables y las grandes redes de bots que venden sus servicios a los spammers y la delincuencia informática organizada, preparan un asalto sin precedentes, según revelan los investigadores de Georgia Tech en un informe...
Fedora 14 disponible.
Efectivamente ya es el día para fedora 14 laughlin vea la luz… ...
Gene Kan, uno de los creadores de Gnutella, se suicida
Buena parte de los internautas de todo el mundo tiene en sus ordenadores archivos procedentes del sistema de intercambio que él difundió....
Los antivirus no nos protegen de las redes robot
Un nuevo análisis de las botnets expone una posible razón para explicar su prodigiosa habilidad para infectar PC y es que, la mayoría de los programas antivirus son prácticamente inútiles a la hora de bloquear los códigos binarios utilizados po...
Manual de OTAN advierte que hackers pueden ser objetivos militares
El Centro de Excelencia en Ciberdefensa de la OTAN en Tallín auspició un libro que advierte sobre la ciberguerra en la que hackers, hacktivistas y atacantes respaldados por estados podrían destruir bases de datos o atacar directamente infraestruct...
Se descubre un buffer overflow en la versión de desarrollo de PHP6
PHP6 todavía está en desarrollo y siempre es mejor que encuentren fallos críticos como este, un desbordamiento del buffer que permite al atacante ejecutar cualquier aplicación (o código arbitrario) en el ordenador que lance el código malicioso....
Usuarios de redes sociales son negligentes al abrir enlaces
Según una investigación de Bitdefender, el 97 % de los usuarios de redes sociales abren los enlaces que reciben sin comprobar su destino, exponiendo así su seguridad. ...
El Día del Software Libre se celebra mañana en Chile y el mundo
En 160 ciudades de los cinco continentes, simultáneamente, se celebrará el Día Internacional del Software Libre este 23 de septiembre, al que también se suma Santiago de Chile para educar al público sobre las virtudes y disponibilidad de este ti...
Importancia de la gestión de incidentes para la seguridad de la información
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadame...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fallos
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multiples
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • soluciona
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra