1. Forum
  2. Fidonet
  3. ESP.SEGURIDAD

  • =?iso-8859-1?q?una-al-dia_=2803/02/2009=29_La_nueva_versi=F3n_de_Firefo

    From noticias@hispasec.com@2:341/201.99 to All on Wed Feb 4 17:20:02 2009
    -----BEGIN PGP SIGNED MESSAGE-----
    Hash: SHA1

    -------------------------------------------------------------------
    Hispasec - una-al-día 03/02/2009
    Todos los días una noticia de seguridad www.hispasec.com
    -------------------------------------------------------------------

    La nueva versión de Firefox soluciona seis vulnerabilidades
    -----------------------------------------------------------

    Mozilla ha publicado su nueva versión 3.0.6 de Firefox, abandonando ya
    por primera vez la rama 2.x en cuestión de seguridad. Como todas las
    pequeñas actualizaciones de Firefox, su fin principal es solucionar vulnerabilidades, seis en este caso. También afectan a Seamonkey y
    Thunderbird, aunque, como de costumbre, de estos programas no se
    publicará actualización hasta más adelante.

    Brevemente, las vulnerabilidades de Firefox clasificadas por criticidad
    son:

    Bajas:
    * Las directivas con las que las páginas indican que no deben ser
    cacheadas no eran aplicadas.
    * Se podían leer las cookies HTTPOnly con XMLHttpRequest.

    Moderadas:
    * Elevación de privilegios en Chrome a través de ficheros .desktop.

    Altas:
    * Robo de ficheros locales con SessionStore.
    * Cross-site scripting usando el método XBL y window.eval.

    Críticas:
    * De nuevo problemas con JavaScript y evidencias de posibilidad de
    ejecución de código.

    Otra vez el motor JavaScript como el origen de la mayoría de problemas
    de seguridad graves en Firefox. Al menos, no se tiene constancia de que
    los fallos de seguridad hayan sido aprovechados de forma regular por
    atacantes, ni de la existencia de exploits públicos.

    Aunque Thunderbird sufre de cuatro de estos últimos problemas de
    seguridad, todavía no se ha publicado la versión que los soluciona. Habitualmente su publicación se retrasa varios días, sin motivo
    aparente. En este caso se espera que la versión 2.0.0.21 del cliente
    de correo solvente los fallos, pero no se sabe cuándo verá la luz.

    Esta es la primera tanda de vulnerabilidades corregidas en 2009 por la fundación Mozilla. En los años anteriores, la media de publicación habla
    de, aproximadamente, un lote de boletines de seguridad cada mes, sin regularidad preestablecida. En 2008 la fundación Mozilla publicó 69
    boletines de seguridad, que corregían más de 70 vulnerabilidades
    (algunos boletines advertían sobre más de una vulnerabilidad). 29 de
    ellos fueron calificados como críticos (el 42%). En 2007, 14 eran
    críticos de un total de 40 boletines (el 35%). La inmensa mayoría de
    los fallos graves, han estado relacionados con el motor JavaScript del navegador.

    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/3755/comentar

    Más información:

    Mozilla Foundation Security Advisories http://www.mozilla.org/security/announce/


    Sergio de los Santos
    ssantos@hispasec.com


    Tal día como hoy:
    -----------------

    03/02/2008: Actualización del kernel para Red Hat Enterprise Linux 4.x
    http://www.hispasec.com/unaaldia/3389

    03/02/2007: Nuevos contenidos en CriptoRed (enero de 2007)
    http://www.hispasec.com/unaaldia/3024

    03/02/2006: Múltiples vulnerabilidades en Mozilla Firefox
    http://www.hispasec.com/unaaldia/2659

    03/02/2005: Vulnerabilidades de alto riesgo en Eudora 6 para Windows
    http://www.hispasec.com/unaaldia/2294

    03/02/2004: Microsoft corrige la vulnerabilidad de falsificación de URLs en Internet Explorer
    http://www.hispasec.com/unaaldia/1927

    03/02/2003: Antivirus: el efecto "zoo"
    http://www.hispasec.com/unaaldia/1562

    03/02/2002: Fallo de verificación de usuarios en los dominios de confianza
    http://www.hispasec.com/unaaldia/1197

    03/02/2001: Nuevos contenidos en CriptoRed
    http://www.hispasec.com/unaaldia/832

    03/02/2000: La B.S.A abre la veda
    http://www.hispasec.com/unaaldia/464

    03/02/1999: Virus para Linux
    http://www.hispasec.com/unaaldia/99


    -------------------------------------------------------------------
    Claves PGP en http://www.hispasec.com/directorio/hispasec
    -------------------------------------------------------------------
    Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
    Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
    -------------------------------------------------------------------
    (c) 2009 Hispasec http://www.hispasec.com/copyright
    -------------------------------------------------------------------

    --- SoupGate-DOS v1.05
    * Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)