Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2805/07/2008=29_Actualizaci=F3n_de_seguridad

From noticias@hispasec.com@2:341/201.99 to All on Tue Jul 8 14:10:02 2008

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 05/07/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Actualizaci�n de seguridad para Firefox 2 corrige 12 vulnerabilidades
---------------------------------------------------------------------

La Fundaci�n Mozilla ha publicado una actualizaci�n (2.0.0.15) para su navegador que soluciona 12 problemas de seguridad. Con solo visitar una
p�gina maliciosa, un atacante podr�a provocar una denegaci�n de
servicio, robar informaci�n sensible, corromper la base de datos de
contrase�as o ejecutar c�digo arbitrario en un sistema vulnerable.

A pesar de que la versi�n 3 de Firefox est� disponible desde el pasado
d�a 17 de junio, Mozilla seguir� dando soporte para la versi�n 2 hasta
mediados de diciembre. La rama 2 es usada ampliamente todav�a, en gran
parte porque existen muchos complementos que a�n no son compatibles con
la versi�n m�s reciente.

De las 12 vulnerabilidades que soluciona la versi�n 2.0.0.15 de Firefox,
cuatro de ellas est�n consideradas como de impacto cr�tico, otras cuatro
de peligrosidad alta, dos de riesgo moderado y otras dos de riesgo bajo. Recordamos que la totalidad de estos problemas se reproducen tambi�n en Seamonkey y algunos de ellos podr�an darse tambi�n en Thunderbird,
puesto que comparten gran parte del c�digo fuente.

Un breve resumen de los problemas oficiales corregidos en esta nueva
versi�n son:

* Existen m�ltiples fallos a procesar contenido JavaScript mal formado.
Esto podr�a ser aprovechado por un atacante remoto para causar una
denegaci�n de servicio o ejecutar c�digo arbitrario si un usuario visita
una p�gina web especialmente manipulada.

* Diversos problemas al procesar contenido web mal formado. Un atacante
remoto podr�a causar una denegaci�n de servicio o ejecutar c�digo
arbitrario si un usuario visita una p�gina web maliciosa.

* Tambi�n se han encontrado m�ltiples errores a la hora de mostrar
contenido web mal formado. �stas vulnerabilidades podr�an ser
aprovechadas por un atacante remoto para enga�ar a un usuario para que introdujese datos sensibles en una p�gina web especialmente creada.

* Se han localizado otras dos vulnerabilidades que podr�an permitir la revelaci�n de informaci�n sensible en Firefox. Una p�gina web maliciosa
podr�a hacer que se revelara el contenido de archivos locales a un
atacante remoto.

* Existen un fallo al procesar archivos de propiedades mal formados, lo
que podr�a causar una fuga de memoria.

* Se ha encontrado un fallo en la forma en la que Firefox escapa los
listados de archivos locales. Ser�a posible la ejecuci�n de JavaScript arbitrario si un usuario listase un directorio local que contenga
nombres de archivos especialmente modificados.

* Y por �ltimo, existe otro fallo en la forma en la que Firefox muestra
la informaci�n sobre los certificados autofirmados. Dichos certificados
podr�an contener m�ltiples entradas de nombres alternativos que no
ser�an mostrados, lo que podr�a provocar que un usuario considerara como confiable un sitio desconocido.

Se recomienda la inmediata actualizaci�n del navegador a la versi�n
2.0.0.15 o a la versi�n 3.0 y tambi�n la actualizaci�n de SeaMonkey a la versi�n 1.1.10, disponibles desde:
http://www.mozilla.com/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3542/comentar

M�s informaci�n:

Known Vulnerabilities in Mozilla Products http://www.mozilla.org/projects/security/known-vulnerabilities.html

Vulnerability Note VU#607267: Mozilla Firefox code execution vulnerability http://www.kb.cert.org/vuls/id/607267

20/06/2008 Primera vulnerabilidad cr�tica en Firefox 3 http://www.hispasec.com/unaaldia/3527

Pablo Molina
pmolina@hispasec.com

Tal d�a como hoy:
-----------------

05/07/2007: MessageLabs presenta su informe mensual sobre el correo electr�nico
http://www.hispasec.com/unaaldia/3176

05/07/2006: Phishing a Banesto optimizado para Internet Explorer
http://www.hispasec.com/unaaldia/2811

05/07/2005: Parche cr�tico para Internet Explorer
http://www.hispasec.com/unaaldia/2446

05/07/2004: Incorporaci�n de ClamAV y mejoras en VirusTotal
http://www.hispasec.com/unaaldia/2080

05/07/2003: Gu�a de Microsoft para la gesti�n de parches
http://www.hispasec.com/unaaldia/1714

05/07/2002: Desbordamiento de b�fer en varias librer�as de resoluci�n de DNS
http://www.hispasec.com/unaaldia/1349

05/07/2001: Compromiso de seguridad en SourceForge
http://www.hispasec.com/unaaldia/984

05/07/2000: BEA WebLogic expone el c�digo fuente de los archivos
http://www.hispasec.com/unaaldia/617

05/07/1999: Passwords al descubierto en productos WebTrends
http://www.hispasec.com/unaaldia/252

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	74
Nodes:	8 (0 / 8)
Uptime:	29:13:45
Calls:	1,495
Files:	17,895
Messages:	65,844

=?iso-8859-1?q?una-al-dia_=2805/07/2008=29_Actualizaci=F3n_de_seguridad

Who's Online

System Info