Debian liberó una actualización para Mozilla. Esta repara varias vulnerabilidades que pueden explotarse para burlar ciertas restricciones de seguridad, realizar ataques de spoofing y Cross-site Scripting, y comprometer el sistema de un usuario.
Debian Security Advisory
DSA-810-1 mozilla
Debian GNU/Linux 3.1 alias sarge | Mozilla Suite | < | 1.7.8 |
Debian liberó una actualización para Mozilla. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para burlar ciertas restricciones de seguridad, realizar ataques de spoofing y Cross-site Scripting, y comprometer el sistema de un usuario.
Se encontro una vulnerabilidad en Mozilla que permite a los atacantes remotos inyectar código Javascript arbitrario de una página en los marcos de otro sitio (CAN-2004-0718, CAN-2005-1937).
La interfaz de usuario del navegador no distinguía adecuadamente entre eventos generados por el usuario y eventos sintetizados, esto hace más fácil para los atacantes remotos realizar acciones peligrosas que normalmente sólo las podría realizar manualmente el usuario (CAN-2005-2260).
Se podían ejeuctar scripts XML aunque Javascript estuviese desactivado (CAN-2005-2261).
Un atacante remoto podia ejecutar una función "call()" en el contexto de otro sitio (CAN-2005-2263).
La falta de verificación en la entrada de InstallVersion.compareTo() podía provocar un DoS a la aplicación (CAN-2005-2265).
Un atacante remoto podía obtener información sensible, de sitios web accediendo a los datos de los marcos adyacentes (CAN-2005-2266).
Un cuadro de diálogo de Javascript podía hacer spoofing sobre un sitio de confianza y facilitar los ataques de phishing (CAN-2005-2268).
Un atacante remoto podía modificar las propiedades de ciertas etiquetas en los nodos DOM, lo que podía conducir a la ejecución de scripts o de código arbitrario (CAN-2005-2269).
Los navegadores de Mozilla no clonan adecuadamente los objetos base, lo que permite que un atacante remoto ejecute código arbitrario (CAN-2005-2270).
Security Bypass.
Cross-site Scripting.
Spoofing.
Acceso al sistema.
Aplicar paquetes actualizados.
Debian GNU/Linux 3.1 (sarge)
Fuentes:
http://security.debian.org/pool/updates/main/m/mozilla/mozilla_1.7.8-1sarge2.dscAlpha:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_alpha.debAMD64:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_amd64.debARM:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_arm.debIntel IA-32:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_i386.debIntel IA-64:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_ia64.debHPPA:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_hppa.debMotorola 680x0:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_m68k.debBig endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_mips.debLittle endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_mipsel.debPowerPC:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_powerpc.debSun Sparc:
http://security.debian.org/pool/updates/main/m/mozilla/libnspr-dev_1.7.8-1sarge2_sparc.debMayor información.
http://www.debian.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT