Firefox 2.0.0.12 soluciona múltiples fallos

Firefox 2.0.0.12 soluciona múltiples fallos
	VSantivirus No 2637 Año 11, lunes 11 de febrero de 2008 Firefox 2.0.0.12 soluciona múltiples fallos http://www.vsantivirus.com/firefox-2-0-0-12.htm Por Redacción VSAntivirus vsantivirus@videosoft.net.uy Mozilla ha publicado Firefox 2.0.0.12 y una nueva versión de SeaMonkey (la 1.1.8). Y aunque la anuncia en sus alertas de seguridad como 2.0.0.12, brilla por su ausencia la nueva versión de Thunderbird. La nueva versión del navegador, corrige al menos 10 vulnerabilidades, tres de ellas catalogadas como críticas. La primera de éstas, identificada como MFSA 2008-01, involucra una serie de errores que provocan la corrupción de la memoria operativa, con la posibilidad de ejecución de código a través de un código que explote alguno de esos fallos a través de un JavaScript malicioso. El problema también afecta a Thunderbird y SeaMonkey, ya que comparten el motor con el navegador Firefox. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo. La segunda vulnerabilidad crítica (MFSA 2008-03), son en realidad dos errores que podrían permitir que un script se ejecute con privilegios elevados. Esto significa que una página podría abrir la puerta a códigos maliciosos por solo visitarla. Thunderbird 2.0.0.12 y SeaMonkey 1.1.8 también corrigen estos problemas. La última de las vulnerabilidades críticas, MFSA 2008-06, permite tanto la divulgación de información del usuario afectado, como un posible cuelgue del programa, y no se descarta la ejecución no deseada de código. Una vulnerabilidad de impacto alto (un punto menor a crítico según los estándares de Mozilla), está descripta en la alerta de seguridad MFSA 2008-05. El problema afecta a todos los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR. Es difícil decir la cantidad de problemas que esta clase de vulnerabilidad puede ocasionar. La misma fue comentada en VSAntivirus hace unas semanas (Ver "Mozilla eleva nivel de alerta para fallo en Firefox", http://www.vsantivirus.com/30-01-07.htm). También afecta a Thunderbird y SeaMonkey. Tres vulnerabilidades de impacto moderado (MFSA 2008-02, MFSA 2008-04, y MFSA 2008-08), involucra técnicas que permiten engañar al usuario y la corrupción de archivos locales. Thunderbird 2.0.0.12 y SeaMonkey 1.1.8 corregirían también algunos de estos problemas. Otras tres vulnerabilidades marcadas como de bajo impacto, reflejan varios problemas de comportamiento que pueden confundir a un usuario o impedir el uso del programa (MFSA 2008-09, MFSA 2008-10, MFSA 2008-11). Las dos primeras también afectan a SeaMonkey. Como curiosidad, si bien algunas de estas vulnerabilidades estarían solucionadas también en Thunderbird 2.0.0.12 como se dijo más arriba, en realidad la última versión conocida de este cliente de correo es la 2.0.0.9, liberada en noviembre de 2007. Todas las variantes no finales de Thunderbird (las "nightly builds", o sea las versiones de prueba, con mejoras cada noche), son únicamente para la versión 3.0 beta. La última de la serie 1.5 es la 1.5.0.14 liberada en diciembre pasado, que ya no tendrá más actualizaciones. NOTA 26/02/08: Mozilla publica Thunderbird 2.0.0.12 Última versión NO vulnerable: - Firefox 2.0.0.12 Descarga de Firefox 2.0.0.12 en español: http://www.mozilla-europe.org/es/products/firefox/ Referencias: MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12) http://www.mozilla.org/security/announce/2008/mfsa2008-01.html MFSA 2008-02 Multiple file input focus stealing vulnerabilities http://www.mozilla.org/security/announce/2008/mfsa2008-02.html MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution http://www.mozilla.org/security/announce/2008/mfsa2008-03.html MFSA 2008-04 Stored password corruption http://www.mozilla.org/security/announce/2008/mfsa2008-04.html MFSA 2008-05 Directory traversal via chrome: URI http://www.mozilla.org/security/announce/2008/mfsa2008-05.html MFSA 2008-06 Web browsing history and forward navigation stealing http://www.mozilla.org/security/announce/2008/mfsa2008-06.html MFSA 2008-07 Possible information disclosure in BMP decoder http://www.mozilla.org/security/announce/2008/mfsa2008-07.html MFSA 2008-08 File action dialog tampering http://www.mozilla.org/security/announce/2008/mfsa2008-08.html MFSA 2008-09 Mishandling of locally-saved plain text files http://www.mozilla.org/security/announce/2008/mfsa2008-09.html MFSA 2008-10 URL token stealing via stylesheet redirect http://www.mozilla.org/security/announce/2008/mfsa2008-10.html MFSA 2008-11 Web forgery overwrite with div overlay http://www.mozilla.org/security/announce/2008/mfsa2008-11.html Relacionados: Thunderbird 2.0.0.12 corrige varias vulnerabilidades http://www.vsantivirus.com/thunderbird-260208.htm Mozilla eleva nivel de alerta para fallo en Firefox http://www.vsantivirus.com/30-01-07.htm Vulnerabilidad en protocolo Chrome de Firefox http://www.vsantivirus.com/vul-firefox-chrome-190108.htm Más información: Known Vulnerabilities in Mozilla Products www.mozilla.org/projects/security/known-vulnerabilities.html Mozilla.org Security Center www.mozilla.org/security/ [Última modificación: 27/02/08 00:24 -0300] (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com