La Fundación Mozilla ha publicado una actualización (2.0.0.15) para su navegador que soluciona 12 problemas de seguridad. Con solo visitar una página maliciosa, un atacante podría provocar una denegación de servicio, robar información sensible, corromper la base de datos de contraseñas o ejecutar código arbitrario en un sistema vulnerable.
A pesar de que la versión 3 de Firefox está disponible desde el pasado día 17 de junio, Mozilla seguirá dando soporte para la versión 2 hasta mediados de diciembre. La rama 2 es usada ampliamente todavía, en gran parte porque existen muchos complementos que aún no son compatibles con la versión más reciente.
De las 12 vulnerabilidades que soluciona la versión 2.0.0.15 de Firefox, cuatro de ellas están consideradas como de impacto crítico, otras cuatro de peligrosidad alta, dos de riesgo moderado y otras dos de riesgo bajo. Recordamos que la totalidad de estos problemas se reproducen también en Seamonkey y algunos de ellos podrían darse también en Thunderbird, puesto que comparten gran parte del código fuente.
Un breve resumen de los problemas oficiales corregidos en esta nueva versión son:
* Existen múltiples fallos a procesar contenido JavaScript mal formado. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario si un usuario visita una página web especialmente manipulada.
* Diversos problemas al procesar contenido web mal formado. Un atacante remoto podría causar una denegación de servicio o ejecutar código arbitrario si un usuario visita una página web maliciosa.
* También se han encontrado múltiples errores a la hora de mostrar contenido web mal formado. Éstas vulnerabilidades podrían ser aprovechadas por un atacante remoto para engañar a un usuario para que introdujese datos sensibles en una página web especialmente creada.
* Se han localizado otras dos vulnerabilidades que podrían permitir la revelación de información sensible en Firefox. Una página web maliciosa podría hacer que se revelara el contenido de archivos locales a un atacante remoto.
* Existen un fallo al procesar archivos de propiedades mal formados, lo que podría causar una fuga de memoria.
* Se ha encontrado un fallo en la forma en la que Firefox escapa los listados de archivos locales. Sería posible la ejecución de JavaScript arbitrario si un usuario listase un directorio local que contenga nombres de archivos especialmente modificados.
* Y por último, existe otro fallo en la forma en la que Firefox muestra la información sobre los certificados autofirmados. Dichos certificados podrían contener múltiples entradas de nombres alternativos que no serían mostrados, lo que podría provocar que un usuario considerara como confiable un sitio desconocido.
Se recomienda la inmediata actualización del navegador a la versión 2.0.0.15 o a la versión 3.0 y también la actualización de SeaMonkey a la versión 1.1.10, disponibles desde:
http://www.mozilla.com/
pmolina@hispasec.com
Más información:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html
Vulnerability Note VU#607267: Mozilla Firefox code execution vulnerability
http://www.kb.cert.org/vuls/id/607267
20/06/2008 Primera vulnerabilidad crítica en Firefox 3
http://www.hispasec.com/unaaldia/3527
Deja un comentario