Actualización de Thunderbird a la versión 2.0.0.12 corrige varias vulnerabilidades


Aunque con atraso, ha aparecido la actualización de seguridad 2.0.0.12 para Thunderbird, anunciada en los boletines de Mozilla al publicar la última versión de Firefox, hace dos semanas, ya que muchas de las vulnerabilidades eran compartidas con el navegador.






Thunderbird es el popular cliente de correo basado en los productos de la familia Mozilla, el cuál ha sido desatendido últimamente por la compañía.

La actualización resuelve vulnerabilidades que nunca fueron arregladas en la versión 1.5 (tampoco en las posteriores), además de corregir 6 nuevas, 5 de ellas compartidas con Firefox. De estas 6, 3 son críticas, 2 moderadas y 1 de riesgo alto.

Una de las vulnerabilidades críticas, está relacionada con un desbordamiento de búfer que afecta la memoria dinámica del programa, cuando se intenta visualizar un correo electrónico con un formato MIME modificado, y que puede permitir la ejecución remota de código.

Otra vulnerabilidad crítica corregida, puede permitir la ejecución de código a partir de un JavaScript malicioso invocado en el correo electrónico o en un enlace embebido en él. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo.

Otros dos problemas corregidos, están relacionados con la posibilidad de que un script se ejecute con privilegios elevados, pudiendo permitir el ingreso a códigos maliciosos.

Thunderbird también es vulnerable al agujero de seguridad que afecta a todos los usuarios que hayan instalado ciertas extensiones de Firefox que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR. La nueva versión corrige el problema.

Uno de los boletines, que no estuvo disponible de inmediato cuando se publicó Firefox 2.0.0.12 (el MFSA 2008-07), menciona otra de las vulnerabilidades ahora corregida por Thunderbird. La misma está relacionada con la revelación de información sensible a partir de imágenes BMP. Este problema es compartido por otros productos y fabricantes (por ejemplo Opera).

Una vulnerabilidad menos crítica, involucra técnicas que permiten engañar al usuario para permitir otras clases de ataques. La corrupción de archivos locales también es
posible.

Son vulnerables las versiones 2.0.0.9 y anteriores (las versiones 2.0.0.10 y 2.0.0.11 nunca fueron publicadas).


* Última versión NO vulnerable:

- Thunderbird 2.0.0.12


* Descarga de Firefox 2.0.0.12 en español:

http://tinyurl.com/2a5h23
http://www.mozilla-europe.org/es/products/thunderbird/


* Referencias:

MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12)
http://www.mozilla.org/security/announce/2008/mfsa2008-01.html

MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution
http://www.mozilla.org/security/announce/2008/mfsa2008-03.html

MFSA 2008-05 Directory traversal via chrome: URI
http://www.mozilla.org/security/announce/2008/mfsa2008-05.html

MFSA 2008-07 Possible information disclosure in BMP decoder
http://www.mozilla.org/security/announce/2008/mfsa2008-07.html

MFSA 2008-08 File action dialog tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-08.html

MFSA 2008-12 Heap buffer overflow in external MIME bodies
http://www.mozilla.org/security/announce/2008/mfsa2008-12.html


* Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/

Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

Empeoran los hábitos de seguridad en las compras online
Una encuesta realizada por Webroot muestras que se ha incrementado el uso de redes públicas WiFi para hacer compras online, entre otras cosas....
Falsificación de cuadros de diálogo en Firefox
Aviv Raff ha publicado un método para falsificar el mensaje que se muestra al tratar de autenticarse en un sitio web utilizando Firefox. Para ello ha explotado un error de diseño consistente en que Firefox (incluida la versión 2.0.0.11) muestra en...
Distribuciones LINUX© Listas para bajar
En el sitio http://www.linuxiso.org/ podrás bajar las Distribuciones Linux más usadas. Solo bajalos y quemalos en un CD las diferentes versiones que existen de este si...
Implementación nativa de Ogg Vorbis y Theora en Firefox 3.1
El último binario de Shiretoko (nombre en clave de desarrollo de Firefox 3.1) ya tiene disponible una funcionalidad esperada y muy bienvenida: la implementación de las etiquetas y de la especificación de HTML5 que permitirán a los...
MRAM, ¿mejor que la memoria Flash?
La empresa Freescale Semiconductor está apostando fuerte por las memorias MRAM, y según sus responsables dicho tipo de memorias es superior en prestaciones a las actuales memorias Flash que estamos encontrando en todo tipo de dispositivos....
Luces y sombras del cloud computing
Investigadores de la Universidad de Berkeley han realizado un estudio en el que analizan el cloud computing, del que consideran que es una gran oportunidad para sacar el máximo partido a los recursos tecnológicos. Eso sí, antes, los fabricantes de...
Perdidas de información ¿y ahora que hago?
Esta es una de las expresiones más comunes cuando descubres que por un fallo humano, de software o hardware, esos datos tan valiosos y de los que no tenemos copias de seguridad han desaparecido. Por supuesto si tuviéramos copias de seguridad de tod...
120.000 móviles Android podrían estar infectados
Droid Dream puede haber infectado 26 aplicaciones del Android Market. Todas ellas ya han sido eliminadas por Google de la citada tienda de aplicaciones. Este software malicioso puede activarse con una llamada de voz....
Disponible Full Circle Magazine Número 16
Se encuentra disponible para su descarga el Número 16 de Full Circle, excelente revista editada por la Comunidad independiente de Ubuntu....
Los sitios demasiado populares también son peligrosos
Para cualquiera de nosotros, en donde el estar informado y atento a nuevos vectores de ataques es una prioridad, es normal ingresar a sitios que son actualizados cada segundo. Por ello, Technorati es una constante en nuestros sitios favoritos....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizacion
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • varias
  • vaslibre
  • version
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra