Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Firefox 2.0.0.5 resuelve ocho vulnerabilidades
 
VSantivirus No 2499 Año 11, viernes 20 de julio de 2007

 Firefox 2.0.0.5 resuelve ocho vulnerabilidades
http://www.vsantivirus.com/firefox-170707.htm

Por Angela Ruiz
angela@videosoft.net.uy

Mozilla publicó la versión 2.0.0.5 de Firefox, la cuál corrige al menos 8 vulnerabilidades que pueden poner en peligro al usuario. Firefox 1.5.x ya no es soportado, y por lo tanto, aún cuando podría ser vulnerable, ya no tiene actualizaciones.

Uno de los problemas, está relacionado con el manejador o protocolo "firefoxurl://", que podría ser invocado por otro navegador, (se ha comprobado solo en Internet Explorer), mediante una línea de comandos arbitraria, para la ejecución de código.

Esto fue anunciado por VSAntivirus en el siguiente artículo:

Vulnerabilidad en Firefox explotada desde IE
http://www.vsantivirus.com/vul-firefox-cve-2007-3670.htm

Algo similar ocurre con el manejador "wyciwyg://", que permite el acceso no autorizado a determinados documentos.

La mayoría de estas vulnerabilidades podrían permitir la ejecución remota de código. Otras, la falsificación del contenido de algunas ventanas, o la escalada de privilegios.

También es posible que el sistema deje de responder bajo ciertas condiciones.

Esta versión además, agrega soporte para cookies "HttpOnly", un invento de Microsoft implementado desde el Internet Explorer 6 SP1, que dificulta el robo de cookies mediante ataques Cross-Site-Scripting (XSS). Esto hace inaccesible cualquier cookie así marcada, para cualquier secuencia de comandos generada desde el navegador.

Esta característica estaba anunciada para el próximo Firefox 3, y hasta ahora solo era posible mediante extensiones, pero ha sido agregada de forma nativa al Firefox 2.0.0.5.


Última versión NO vulnerable:

- Firefox 2.0.0.5


Descarga de Firefox 2.0.0.5 en español:

http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.5/win32/es-ES/


Referencias:

MFSA 2007-25 XPCNativeWrapper pollution
www.mozilla.org/security/announce/2007/mfsa2007-25.html

MFSA 2007-24 Unauthorized access to wyciwyg:// documents
www.mozilla.org/security/announce/2007/mfsa2007-24.html

MFSA 2007-23 Remote code execution by
launching Firefox from Internet Explorer
www.mozilla.org/security/announce/2007/mfsa2007-23.html

MFSA 2007-22 File type confusion due to %00 in name
www.mozilla.org/security/announce/2007/mfsa2007-22.html

MFSA 2007-21 Privilege escalation using an event handler
attached to an element not in the document
www.mozilla.org/security/announce/2007/mfsa2007-21.html

MFSA 2007-20 Frame spoofing while window is loading
www.mozilla.org/security/announce/2007/mfsa2007-20.html

MFSA 2007-19 XSS using addEventListener and setTimeout
www.mozilla.org/security/announce/2007/mfsa2007-19.html

MFSA 2007-18 Crashes with evidence of memory corruption
www.mozilla.org/security/announce/2007/mfsa2007-18.html


Referencias CVE:

Las vulnerabilidades corregidas están relacionadas con las siguientes referencias CVE:

www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3089
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3285
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3656
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3670
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3734
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3735
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3736
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3737
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3738

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird 2.0.0.5 corrige dos vulnerabilidades
http://www.vsantivirus.com/thunderbird-190707.htm


Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/






(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS