Múltiples vulnerabilidades en productos Mozilla


Se han encontrado múltiples vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante remoto para revelar información sensible, saltarse restricciones de seguridad, realizar ataques de cross-site scripting (XSS) o incluso ejecutar código arbitrario en un sistema vulnerable.





Las vulnerabilidades anunciadas son las siguientes:

* Diversos errores en el manejo de código JavaScript que podrían ser aprovechados para realizar ataques de cross-site scripting o para ejecutar código arbitrario.

* Errores en el motor JavaScript que podrían provocar la corrupción de la memoria y permitir la ejecución de código arbitrario. * Firefox entrega un certificado SSL privado, configurado previamente, cada vez que un servidor web realiza una petición SSL de autenticación de cliente. Esto podría ser aprovechado para ganar acceso información sensible desde un servidor web malicioso que realice dicha petición.

* Existe un error al mostrar ventanas pop-up XUL que podría ser aprovechado para ocultar los bordes de las ventanas, con lo que se facilitaría la realización de ataques de phishing.

* Se ha encontrado un error no especificado en el manejo de XPCNativeWrappers que podría ser aprovechado para ejecutar código JavaScript arbitrario con los privilegios del usuario, por medio de llamadas a la función setTimeout.

* Existen varios errores en el motor de diseño que podrían ser aprovechados para causar una corrupción de memoria.

* Otro de los problemas reside en un error en el manejo de cabeceras HTTP "Referer:" enviadas con peticiones a URLs que contengan credenciales de "Autenticación Básica" con un nombre de usuario vacío. Esto podría ser aprovechado para saltarse las protecciones contra ataques de cross-site request forgery.

* La última vulnerabilidad está causada por un error en el manejo del protocolo "jar:" que podría ser aprovechado para establecer conexiones a puertos arbitrarios en la máquina local.

Las siguientes versiones y productos se verían afectados por las vulnerabilidades:

- Las versiones de Firefox anteriores a la 2.0.0.13 se ven afectadas por todas las vulnerabilidades.

- Las versiones de Seamonkey anteriores a la 1.1.9 se ven afectadas por todas las vulnerabilidades.

- Las versiones de Thunderbird anteriores a la 2.0.0.13 se ven afectadas sólo por algunas de las vulnerabilidades.

Se recomienda actualizar a las versión 2.0.0.13 de Firefox y Thunderbird y a la 1.1.9 de Seamonkey una vez que estén disponibles, desde:
http://www.mozilla-europe.org/es/products/

Más información:

Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.12 Multiple Remote Vulnerabilities
http://www.securityfocus.com/bid/28448/discuss

Fuente:
Por Pablo Molina
http://www.hispasec.com



Otras noticias de interés:

Posibles errores con boletines MS07-008 y MS07-017
Según informa Microsoft en sus artículos 925902 y 935448, algunos usuarios que hayan instalado la actualización correspondiente al boletín de seguridad MS07-017 (la que corrige la vulnerabilidad en archivos .ANI entre otras seis), puede...
El grupo Rock Phish dispara el número de ataques phishing en el mundo
Las técnicas phishing evolucionan a medida que los usuarios toman conciencia del perjuicio que les puede provocar y aprenden a evitarlo. Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayoría de ellos, dispara e...
Nueva vulnerabilidad en IE7
Ha sido descubierta una vulnerabilidad en la versión 7 de Internet Explorer. ...
Publicado código que explota la ultima vulnerabilidad de Windows
Se ha publicado un código que demuestra y explota una de las últimas vulnerabilidades dadas a conocer y para las que Microsoft publicó la corrección la pasada semana. Concretamente el problema por el que la visualización de una imagen jpeg pued...
OpenArena, aMule y EnvyNG solicitan tu Ayuda
Como saben todos la grandeza del software libre es que todo el mundo puede colaborar y no sólo codificando, sino informando de bugs, realizando sugerencias, etc. En los últimos días algunos proyectos han lanzado un comunicado pidiendo ayuda....
¿Luis Tascón ANTI-Software Libre? (Que verguenza de diputado)
Luis Tascón prohibe entrada de Felipe Pérez Martí a Asamblea Nacional y anuncia que artículo 75 de la Ley de T.I. se redactará en privado...
Los riesgos empresariales con los dispositivos móviles
Según una reciente encuesta, más de la mitad de las personas, suelen almacenar archivos relacionados con sus trabajos, tales como correo electrónico y documentos confidenciales, en medios no seguros, ignorando los riesgos que esto puede traer a la...
Microsoft reforzará la seguridad en IE9
Una semana después de que la Comisión Federal de Comercio (FTC) recomendara un mecanismo de protección para el navegador de Microsoft y el Congreso de EEUU debatiera el asunto en una audiencia, los de Redmond han anunciado que implementarán una h...
Cómo mitigar los riesgos en la seguridad de los datos al hacer outsourcing global
Aunque la externalización de servicios es una excelente forma de ahorrar costes, conviene tener en cuenta algunas premisas para mantener la integridad de los datos que se comparten. ...
FREESPIRE, La versión opensource de LINSPIRE
Es sin duda la noticia del mes. Linspire, el que sin duda es el mejor sistema operativo del mundo en el ámbito Linux, tendrá su propia versión open source, cuyo nombre oficial será Freespire. Así lo ha anunciado Kevin Carmony, Presidente y CEO d...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • multiples
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • productos
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra