| Artículos | 01 NOV 2005

Los "puntos negros" de los navegadores

Tags: Histórico
Gonzalo Alvarez.
Este mes presentamos varias vulnerabilidades en algunos de los navegadores más utilizados después de Internet Explorer, los populares Firefox y Opera, así como en la suite de productos de ofimática de Microsoft, Office 2003.

Vulnerabilidades críticas en Firefox
Recientemente se han publicado nueve vulnerabilidades de criticidad variable en Firefox, el navegador más utilizado actualmente después de Internet Explorer. Merecen especial atención tres vulnerabilidades críticas con la posibilidad de ejecutar código arbitrario en el equipo de la víctima. La primera surge como consecuencia de un error a la hora de gestionar ciertas direcciones web incorrectas, como por ejemplo <A HREF=https:--------------------------------------------- >. La segunda se debe a la gestión incorrecta de imágenes XBM construidas maliciosamente con espacios al final. La tercera aparece como consecuencia de secuencias de Unicode incorrectas con el atributo zero-width non-joiner. El resto de vulnerabilidades poseen un nivel de criticidad alto y dos de ellas, moderado.
Otra vulnerabilidad reciente consiste en la posibilidad de que Firefox quede colgado por la ejecución de un script de auto configuración de proxy (PAC).

Solución
Todas las vulnerabilidades mencionadas han sido corregidas en la versión 1.0.7, disponible en www.mozilla.org/products/firefox. Es recomendable que antes de instalar las nuevas versiones se desinstalen las antiguas. Con esta operación no se pierden los elementos personales de los usuarios, como Historial, Marcadores, Cookies, Extensiones, Temas, etc. Puedes encontrar información adicional sobre cómo funcionan todas estas vulnerabilidades e instrucciones detalladas sobre cómo protegerte en www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox.


Actualización de seguridad para Office 2003
Microsoft ha publicado recientemente el Service Pack 2 para su suite de productos de ofimática Office 2003, el cual incluye actualizaciones importantes en materia de seguridad, además de mejoras en la estabilidad y en el rendimiento. Algunas de las correcciones que se incluyen con el SP2 se habían presentado anteriormente como actualizaciones independientes, combinándolas ahora en una sola. Entre las vulnerabilidades corregidas se incluyen la ejecución de código arbitrario por el convertidor de documentos de WordPerfect 5.x, la ejecución de código como consecuencia de la inserción de una imagen malintencionada, varios desbordamientos de búfer en Word, etc.

Solución
Se recomienda a todos los usuarios de Office 2003 que instalen a la mayor brevedad el Service Pack 2, que puede descargarse desde support.microsoft.com/kb/887616.


Fallos de seguridad en Opera
Otra aplicación de navegación y correo electrónico muy popular es la desarrollada por Opera Software. Aunque no registra un número de usuarios tan elevado como Firefox o Thunderbird, se está convirtiendo en otra de las alternativas más sólidas a Internet Explorer y Outlook Express. Se han descubierto varias vulnerabilidades en productos de Opera. Dos de ellas en Opera Mail: la primera permitiría ejecutar código JavaScript arbitrario embebido en un mensaje de correo, mientras que la segunda permitiría disfrazar archivos bajo formatos inocentes debido a un fallo en el atributo Content-Type. Por su parte, el navegador de Opera se ve afectado además por una vulnerabilidad en la carga de archivos mediante drag-and-drop, con la consecuencia de que un atacante podría llegar a ejecutar código arbitrario dentro del contexto de seguridad del usuario que está utilizando el navegador.

Solución
Estas vulnerabilidades se han corregido en la versión 8.50 de Opera, que se puede descargar desde www.opera.com/download.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información