PDA

Ver la versión completa : Firefox 1.5.0.2 corrige vulnerabilidades críticas



clarinetista
14-04-2006, 13:38
Múltiples vulnerabilidades que han sido reportadas en Mozilla Firefox, la mayoría de ellas críticas, son solucionadas en la versión 1.5.0.2, una actualización que agrega mejoras a la estabilidad del programa, además de corregir algunos errores que en ciertos casos podían provocar su fallo.

La mayoría de las vulnerabilidades corregidas, podrían ser utilizados para la ejecución de código, incluso de forma remota, o para habilitar la ejecución de scripts (archivos de comandos).

Un atacante podría obtener ventajas de estos fallos para ejecutar código en el equipo afectado, con los privilegios del usuario actualmente conectado, o acceder a información confidencial.


Vulnerabilidades corregidas:

- Referencia: Mozilla Foundation Security Advisory 2006-20

Una vulnerabilidad crítica causada por HTML Dinámico (DHTML), puede provocar la corrupción de la memoria operativa del programa, lo que podría ser explotado para la ejecución arbitraria de código. Ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.

- Referencia: Mozilla Foundation Security Advisory 2006-22

Una vulnerabilidad crítica provocada por un desbordamiento de entero en el manejo de las propiedades de las hojas de estilo, puede corromper la memoria utilizada por el programa y permitir a un atacante la ejecución de código. Corregida en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Referencia: Mozilla Foundation Security Advisory 2006-23

Una vulnerabilidad de impacto alto que permite que el contenido de una ventana de ingreso de datos mantenga su contenido, puede permitir a un sitio web malicioso robar archivos locales conocidos. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Referencia: Mozilla Foundation Security Advisory 2006-24

Una vulnerabilidad crítica en el método "crypto.generateCRMFRequest" puede ser utilizada para la ejecución arbitraria de código con los privilegios del usuario actual, lo que puede permitir la instalación de malware. Solucionada en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-25

Existe una vulnerabilidad crítica que permite el uso de scripts en un control XBL para obtener los mismos privilegios de archivos "chrome" cuando se utiliza la vista previa de impresión de la página (los archivos chrome contienen todos los componentes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas).

El problema ha sido corregido en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-27

Existe una vulnerabilidad crítica en un ordenamiento incorrecto de ciertos índices cuando se manejan etiquetas, que puede utilizar memoria no válida, facilitando a un atacante la ejecución de código. Solucionado en Firefox 1.5.0.2, Firefox 1.0.8, Thunderbird 1.5.0.2, Thunderbird 1.0.8, SeaMonkey 1.0.1 y Mozilla Suite 1.7.13.

- Mozilla Foundation Security Advisory 2006-28

Un control de seguridad en "js_ValueToFunctionObject()" que puede ser eludido por el uso de la función "setTimeout()", permite a un atacante la elevación de privilegios, habilitando la instalación de código malicioso. Esta vulnerabilidad está catalogada como crítica, y ha sido solucionada en Firefox 1.5.0.2, Thunderbird 1.5.0.2 y SeaMonkey 1.0.1.

- Mozilla Foundation Security Advisory 2006-29

Una interacción entre contenido XUL y el nuevo historial de Firefox 1.5, puede ser utilizado por un atacante para construir contenido engañoso que lleve al usuario a ejecutar código. La vulnerabilidad es crítica, y ha sido solucionada en Firefox 1.5.0.2 y SeaMonkey 1.0.1.

XUL (eXtensible User-Interface Language), desarrollado por Mozilla y Netscape, consiste en una serie de marcadores XML que permiten el intercambio de datos de la interfase de usuario entre distintas plataformas operativas.


Software vulnerable:

- Mozilla Firefox 1.5.0.1 y anteriores


Software NO vulnerable:

- Mozilla Firefox 1.5.0.2


Solución

Actualizarse a las versiones no vulnerables, desde el siguiente enlace:

Mozilla Firefox 1.5.0.2 (en español) o superior
http://www.mozilla-europe.org/es/products/firefox/

FUENTE: VSANTIVIRUS

morza2
15-04-2006, 00:02
Gracias Clarinetista