miércoles, 4 de marzo de 2009

La nueva versión de Firefox corrige otras ocho vulnerabilidades (Thunderbird, olvidado)

Apenas un mes después de corregir seis vulnerabilidades con la última 3.0.6, Mozilla lanza la nueva versión 3.0.7 de su navegador Firefox que soluciona otros ocho fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona ocho vulnerabilidades aglutinadas en cinco boletines. Tres de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y uno de carácter bajo.

Específicamente, cada boletín:

* Un problema de falsificación de URL usando caracteres de control invisibles.
* Se ha actualizado la librería PNG para solucionar riesgos de seguridad con la memoria.
* Riesgo de robo de datos a través de RDFXMLDataSource.
* Un problema con el recolector de basura podría permitir ejecución de código.
* Múltiples problemas de corrupción de memoria con evidencias de posibilidad de ejecución de código.

Estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.

Mozilla todavía no ha corregido las anteriores vulnerabilidades aparecidas en febrero y que se supone deberían haber sido solucionadas con la versión 2.0.0.20 de Thunderbird. Incluso un mes después todavía no está disponible para descarga desde el sitio oficial (sigue la 2.0.0.19 disponible desde finales de diciembre). Ahora, anuncia que en una futura versión 2.0.0.21 (para la que no se indica fecha) se solucionarán también esta tanda de problemas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

03/02/2009 La nueva versión de Firefox soluciona seis vulnerabilidades
http://www.hispasec.com/unaaldia/3755

No hay comentarios:

Publicar un comentario en la entrada