Debian liberó una actualización para mozilla-firefox. Esta repara varias vulnerabilidades que pueden explotarse para burlar ciertas restricciones de seguridad, realizar ataques de Cross-site Scripting y spoofing, además de comprometer el sistema de un usuario.
Debian Security Advisory
DSA-779-1 mozilla-firefox
Debian GNU/Linux 3.1 alias sarge | Mozilla Firefox | < | 1.0.4 |
Debian GNU/Linux unstable alias sid | Mozilla Firefox | < | 1.0.4 |
Debian liberó una actualización para mozilla-firefox. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para burlar ciertas restricciones de seguridad, realizar ataques de Cross-site Scripting y spoofing, además de comprometer el sistema de un usuario.
La interfaz para el usuario del navegador no distingue adecudamente entre eventos generados por el usuario y eventos simulados no confiables, lo que permitiría a atacantes remotos realizar acciones maliosas que normalmente solo podrián realizarse manualmente por el usuario.(CAN-2005-2260)
Scripts XML corren incluso cuando Javascript ha sido deshabilitado.(CAN-2005-2261)
Puede engañarse a un usuario, para ejecutar código JavaScript arbitrario, utilizando una URL JavaScript como wallpaper.(CAN-2005-2262)
Un atacante remoto pued ejecutar una función callback dentro del contexto de otro dominio.(CAN-2005-2263)
Es posible que un atacante remoto robe información sensible via un link malicioso abierto en la sidebar.(CAN-2005-2264)
La falta de verificación en InstallVersion.compareTo() puede ocasionar que la aplicación se caíga.(CAN-2005-2265)
Atacantes remotos pueden robar información sensible tal como cookies y contraseñas desde sitios web accesando a datos dentro de un marco externo.(CAN-2005-2266)
Utilizando aplicaciones Standalone como Flash y QuickTime para abrir una URL de JavaScript, es posible que un atacante remoto robe información sensible y posiblemente ejecute código arbitrario.
Es posible que una caja de dialogo de JavaScript tome el lugar de un cuadro de dialogo de un sitio legítimo y facilite ataques de phising.(CAN-2005-2268)
Atacantes remotos pueden modificar ciertas etiquetas de propiedades de nodos DOM con lo que podrián ejecutar código arbitrario o scripts.(CAN-2005-2269)
La familia de navegadores de Mozilla no clona apropiadamente objetos base, lo que permitiría que atacantes remotos ejecuten código arbitrario(CAN-2005-2270)
Security Bypass
Cross-site Scripting
Spoofing
Acceso al sistema.
Aplicar las actualizaciones correspondientes:
-- Debian GNU/Linux 3.1 (sarge) --
Source:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2.dscAlpha:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_alpha.debAMD64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_amd64.debARM:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_arm.debIntel IA-32:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_i386.debIntel IA-64:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_ia64.debHPPA:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_hppa.debMotorola 680x0:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_m68k.debBig endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_mips.debLittle endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_mipsel.debPowerPC:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_powerpc.debIBM S/390:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_s390.debSun Sparc:
http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge2_sparc.debMayor información.
http://www.debian.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT