| Artículos | 01 OCT 2005

Este mes presentamos varias vulnerabilidades en los dos productos líderes en la navegación por Internet: Mozilla Firefox e Internet Explorer. También comentamos otras vulnerabilidades encontradas en otro producto de mozilla: Thunderbird, el popular cliente de correo, noticias, Web Mail y RSS

Tags: Histórico
Gonzalo Alvarez.
Vulnerabilidades críticas en Firefox
Recientemente se han publicado doce nuevas vulnerabilidades en Firefox, que tiene cerca de un tercio del parque mundial de navegadores. Merecen especial atención dos vulnerabilidades críticas. La primera tiene que ver con la posibilidad de ejecutar código arbitrario a través de una función compartida vulnerable. La segunda tiene que ver con aplicaciones independientes para reproducción de medios, como Flash o QuickTime, las cuales pueden abrir URL en el navegador configurado como predeterminado. El comportamiento de Firefox consiste en sustituir el contenido de la ventana actual por el contenido de la página abierta por la aplicación externa. Si el URL externo es del tipo javascript:, permitiría robar información sensible. Si el reproductor de medios primero carga un URL privilegiado de tipo chrome: y luego un URL de tipo javascript:, entonces podría ejecutar código arbitrario.

Solución
Todas las vulnerabilidades han sido corregidas en la versión 1.0.6, disponible en www.mozilla.org/products/firefox. Se recomienda que antes de instalar las nuevas versiones se desinstalen las antiguas. Con esta operación no se pierde el Historial, Marcadores, cookies, extensiones, temas, etc. Puede encontrar más información en www.mozilla.org/projects/security/known-vulnerabilities.html.


Fallos de seguridad en Thunderbird
Thunderbird está comiendo terreno a Outlook Express. Recientemente, se le han descubierto varias vulnerabilidades, tres de ellas críticas. La primera tiene que ver con la posibilidad de ejecutar código arbitrario a través de una función compartida vulnerable. La segunda se relaciona con JavaScript y permita una escalada de privilegios a través de la sobrescritura de propiedades no DOM. Esta vulnerabilidad se relaciona con la anterior, y también permite la escalada de privilegios, en este caso a través de la sobrescritura de propiedades DOM.

Solución
Los usuarios de Mozilla Thunderbird deben actualizarse a la versión 1.0.6, disponible en www.mozilla.org/products/thunderbird. Se recomienda que antes de instalarla se desinstale la antigua. Con esta operación no se pierden los elementos personales. Puede encontrar más información en www.mozilla.org/projects/security/known-vulnerabilities.html.


Actualizaciones para Internet Explorer
Internet Explorer continúa a la cabeza en número y criticidad de vulnerabilidades de seguridad. Se acaban de publicar dos nuevas vulnerabilidades críticas. La primera podría permitir la ejecución remota de código como consecuencia del modo en que Explorer trata las imágenes JPEG. Un atacante podría aprovechar esta vulnerabilidad mediante la construcción de una imagen JPEG maliciosa que lograra permitir la ejecución remota de código cuando un usuario visitara un sitio web o visualizara un mensaje de correo electrónico. La segunda podría permitir la ejecución remota de código debido a la forma en que Internet Explorer ejecuta objetos COM que no deberían utilizarse en Internet Explorer. Un atacante podría aprovechar esta vulnerabilidad mediante la construcción de una página web malintencionada que permita la ejecución de código remoto cuando los usuarios visiten el sitio web malintencionado. En ambos casos, un atacante que aprovechara la vulnerabilidad podría tomar el control completo del sistema afectado.

Solución
Microsoft ha publicado un parche acumulativo que soluciona estas vulnerabilidades y otras anteriores y que puede descargarse desde www.microsoft.com/spain/technet/seguridad/boletines/MS05-038-IT.mspx.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información