Múltiples vulnerabilidades en productos Mozilla


Se han encontrado múltiples vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante remoto para revelar información sensible, saltarse restricciones de seguridad, realizar ataques de cross-site scripting (XSS) o incluso ejecutar código arbitrario en un sistema vulnerable.





Las vulnerabilidades anunciadas son las siguientes:

* Diversos errores en el manejo de código JavaScript que podrían ser aprovechados para realizar ataques de cross-site scripting o para ejecutar código arbitrario.

* Errores en el motor JavaScript que podrían provocar la corrupción de la memoria y permitir la ejecución de código arbitrario. * Firefox entrega un certificado SSL privado, configurado previamente, cada vez que un servidor web realiza una petición SSL de autenticación de cliente. Esto podría ser aprovechado para ganar acceso información sensible desde un servidor web malicioso que realice dicha petición.

* Existe un error al mostrar ventanas pop-up XUL que podría ser aprovechado para ocultar los bordes de las ventanas, con lo que se facilitaría la realización de ataques de phishing.

* Se ha encontrado un error no especificado en el manejo de XPCNativeWrappers que podría ser aprovechado para ejecutar código JavaScript arbitrario con los privilegios del usuario, por medio de llamadas a la función setTimeout.

* Existen varios errores en el motor de diseño que podrían ser aprovechados para causar una corrupción de memoria.

* Otro de los problemas reside en un error en el manejo de cabeceras HTTP "Referer:" enviadas con peticiones a URLs que contengan credenciales de "Autenticación Básica" con un nombre de usuario vacío. Esto podría ser aprovechado para saltarse las protecciones contra ataques de cross-site request forgery.

* La última vulnerabilidad está causada por un error en el manejo del protocolo "jar:" que podría ser aprovechado para establecer conexiones a puertos arbitrarios en la máquina local.

Las siguientes versiones y productos se verían afectados por las vulnerabilidades:

- Las versiones de Firefox anteriores a la 2.0.0.13 se ven afectadas por todas las vulnerabilidades.

- Las versiones de Seamonkey anteriores a la 1.1.9 se ven afectadas por todas las vulnerabilidades.

- Las versiones de Thunderbird anteriores a la 2.0.0.13 se ven afectadas sólo por algunas de las vulnerabilidades.

Se recomienda actualizar a las versión 2.0.0.13 de Firefox y Thunderbird y a la 1.1.9 de Seamonkey una vez que estén disponibles, desde:
http://www.mozilla-europe.org/es/products/

Más información:

Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.12 Multiple Remote Vulnerabilities
http://www.securityfocus.com/bid/28448/discuss

Fuente:
Por Pablo Molina
http://www.hispasec.com



Otras noticias de interés:

Cuantificación de las vulnerabilidades en los diferentes sistemas operativos
Un análisis de las vulnerabilidades de seguridad publicadas y los ataques registrado durante el año 2002 revela cuales son los sistemas operativos con más vulnerabilidades y que reciben más ataques....
Información Corporativa en peligro
Un reciente estudio elaborado por la consultora Harris Interactive revela la preocupante cifra del número de empleados que estarían dispuestos a vender información corporativa con una finalidad clara: el beneficio propio....
Opera Unite podría poner en riesgo la seguridad
Los usuarios que se instalen Opera Unite, la nueva plataforma de desarrollo de Opera, podrían ponerse en riesgo de ser atacados por ciber criminales, según denuncian algunos investigadores de seguridad....
ZVM, de propagación masiva. Borra archivos del sistema dejándolo inutilizable
VBS.ZVM@mm ZVM es un gusano reportado el 02 de Julio del 2002, de gran difusión masiva vía correo electrónico, debido a que su mensaje en español aduce contener un programa para descargar música gratuita y se propaga con un arch...
Disponible Wine 1.0
El equipo de wine ha anunciado la disponibilidad para descarga de la primera versión estable de esta aplicación, la 1.0. Han tardado muchos años pero ya hemos podido disfrutar de las cualidades de wine en sus versiones anteriores....
El anonimato en Tor queda en entredicho tras varios ataques
Según la organización de la red Tor, unos ataques habrían logrado conseguir vincular la información de la navegación a través de su red con usuarios concretos, por lo que se habría vulnerado toda la privacidad del sistema. Siguiendo los datos ...
Programa de falsas alarmas de seguridad afecta al Messenger de Microsoft
El programa, conocido como Winfixer, advierte falsamente que una computadora ha sido afectada con software malicioso, de acuerdo con Symantec Corp. Incita a los usuarios a que compren un programa para quitar el software no solicitado....
Los hackers prefieren Firefox y Opera
Nuevas investigaciones muestran que los hackers prefieren usar navegadores con una instalación base menor....
Jolicloud el sistema operativo para internet.
Jolicloud está basada en Ubuntu y pretende ser aún más fácil de instalar y configurar. Es compatible con 98% de las netbook, por defecto, sin necesidad de configuración extra alguna, para lo que cuenta con amplio soporte para redes WiFi y 3G....
Flisol 2015 Valencia Charlas e Instalaciones
El próximo viernes 24-04-2015 se realizará en la ciudad de Valencia estado Carabobo el Flisol 2015. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multiples
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • productos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra