Firefox 2.0.0.8 corrige importantes vulnerabilidades

Firefox 2.0.0.8 corrige importantes vulnerabilidades
	VSantivirus No 2571 Año 11, martes 23 de octubre de 2007 Firefox 2.0.0.8 corrige importantes vulnerabilidades http://www.vsantivirus.com/firefox-181007.htm Por Angela Ruiz angela@videosoft.net.uy Mozilla ha liberado Firefox 2.0.0.8 que corrige importantes vulnerabilidades. Los problemas afectan a Firefox 2.0.0.7 y anteriores. Mozilla Thunderbird, SeaMonkey y Camino también son afectados, y se anuncia la publicación de nuevas versiones. Las vulnerabilidades corregidas, pueden permitir la ejecución arbitraria de código debido a la posibilidad de corromper la memoria operativa del programa, ataques de phishing por medio de la falsificación de contenido, o incluso ejecutar scripts locales que pueden llevar a la elevación de privilegios. Las versiones de Linux afectadas, pueden permitir que un atacante acceda a archivos del sistema del usuario. Mozilla también corrige un problema causado por un error de validación en la entrada de datos cuando se envían ciertos URIs a protocolos registrados (por ejemplo "mailto", "news", "nntp", "snews", "telnet", y "http"). El problema, ocasionado en Windows XP con Internet Explorer 7 instalado, puede permitir que aplicaciones como Firefox también puedan ser utilizadas como vectores de ataque. Firefox 2.0.0.6 mitigaba esta vulnerabilidad, pero no impedía el lanzamiento de un programa no registrado, cosa que si hace la versión 2.0.0.8. Otras formas de ataques son posibles a partir de cualquiera de estas vulnerabilidades. En algunos casos, existen exploits activos, y en otros no es necesario ningún exploit para provocar el fallo. Se recomienda la actualización inmediata a la última versión. Última versión NO vulnerable: - Firefox 2.0.0.8 Descarga de Firefox 2.0.0.8 en español: http://www.mozilla-europe.org/es/products/firefox/ Referencias: Crashes with evidence of memory corruption (rv:1.8.1.8) http://www.mozilla.org/security/announce/2007/mfsa2007-29.html onUnload Tailgating http://www.mozilla.org/security/announce/2007/mfsa2007-30.html Digest authentication request splitting http://www.mozilla.org/security/announce/2007/mfsa2007-31.html File input focus stealing vulnerability http://www.mozilla.org/security/announce/2007/mfsa2007-32.html XUL pages can hide the window titlebar http://www.mozilla.org/security/announce/2007/mfsa2007-33.html Possible file stealing through sftp protocol http://www.mozilla.org/security/announce/2007/mfsa2007-34.html XPCNativeWraper pollution using Script object http://www.mozilla.org/security/announce/2007/mfsa2007-35.html URIs with invalid %-encoding mishandled by Windows http://www.mozilla.org/security/announce/2007/mfsa2007-36.html Referencias CVE: http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-2894 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1095 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2292 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-3511 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-4841 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5334 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5337 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5338 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5339 http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5340 Relacionados: Vulnerabilidad en el manejo de los URI en Windows http://www.vsantivirus.com/vul-windows-uri-260707.htm IE 7 y Firefox propensos a ataques en autenticación http://www.vsantivirus.com/vul-request-splitting.htm Más información: Known Vulnerabilities in Mozilla Products www.mozilla.org/projects/security/known-vulnerabilities.html Mozilla.org Security Center www.mozilla.org/security/ (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com