El navegador Web Mozilla y sus productos derivados contienen varias vulnerabilidades, la más seria de ellas podría permitir a un intruso remoto ejecutar código arbitrario en un sistema afectado.
Varias vulnerabilidades han sido reportadas en el navegador de Web Mozilla y sus productos derivados. Mozilla ha vuelto a liberar tres avisos de seguridad para describir las vulnerabilidades.
Mozilla Foundation Security Advisory 2006-67 está relacionado con una vulnerabilidad de ejecución remota de código en la forma en como JavaScript es manejado por Firefox, Thunderbird, y SeaMonkey. Más información puede ser encontrada en la Nota de Vulnerabilidad VU#714496.
Mozilla Foundation Security Advisory 2006-66 está relacionado con una vulnerabilidad en la forma en como las firmas RSA son manejadas por Firefox, Thunderbird, y SeaMonkey. Más información puede ser encontrada en la Nota de Vulnerabilidad VU#335392.
Mozilla Foundation Security Advisory 2006-65 está relacionado con tres vulnerabilidades de corrupción de memoria en Firefox, Thunderbird y SeaMonkey. Más información puede ser encontrada en la Notas de Vulnerabilidades VU#815432, VU#390480, y VU#495288.
Cualquier producto basado en componentes de Mozilla, especialmente Gecko, podría ser afectado por las vulnerabilidades cubiertas en VU#714496, VU#815432, VU#390480, y VU#495288.
Cualquier software que utilice Mozilla NSS (Network Security Services) podría ser afectado por la vulnerabilidad cubierta en VU#335392.
El impacto más severo de estas vulnerabilidades podría permitir a un intruso remoto ejecutar código arbitrario con los privilegios del usuario ejecutando la aplicación afectada. Otros efectos incluyen la falsificación de firmas RSA y negación de servicio. Un intruso remoto no autenticado podría ejecutar código arbitrario o causar una negación de servicio.
La falsificación de una firma RSA (VU#335392) podría permitir a un intruso crear un certificado TLS/SSL o de correo electrónico que no será detectado como inválido. Esto podría permitir que un intruso personifique un sitio Web o un sistema de correo electrónico que confíe en certificados para realizar autenticación.
Estas vulnerabilidades están solucionadas en Firefox 1.5.0.8, Mozilla Thunderbird 1.5.0.8, y SeaMonkey 1.0.6.
De acuerdo a Mozilla:
Firefox 1.5.0.x será mantenido con actualizaciones de seguridad y estabilidad hasta el 24 de abril de 2007. Se recomienda a todos los usuarios actualizar a Firefox 2.
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT