| Artículos | 01 ABR 2006

Nuevos fallos en Thunderbird

Tags: Histórico
Gonzalo Alvarez.
Este mes destacamos varias vulnerabilidades en una amplia gama de productos, la mayoría de ellos de una gran difusión: Thunderbird, Shockwave Player, GnuPG y Java.

Vulnerabilidades en Thunderbird
El cliente de correo Thunderbird constituye la más seria amenaza a la hegemonía de Outlook Express, a quien supera indiscutiblemente en algunos aspectos como el filtrado, las búsquedas, capacidad RSS y, por encima de todo, la lucha antispam. Thunderbird incorpora por supuesto todos los avances de un cliente de correo moderno, entre ellos la posibilidad de ejecutar fragmentos de código en JavaScript. Sin embargo, se ha descubierto que el motor de presentación WYSIWYG filtra insuficientemente el código JavaScript, por lo que resulta posible escribir JavaScript en el atributo SRC de la etiqueta IFRAME, conduciendo a su ejecución cuando se edita el correo, por ejemplo, al responder al mensaje recibido, incluso aunque se haya desactivado JavaScript en las preferencias (Herramientas » Opciones » Privacidad » Bloquear JavaScript en mensajes de correo). Como consecuencia de este ataque, la víctima podría revelar información confidencial.

Solución
La nueva versión Thunderbird 1.5 corrige la vulnerabilidad anterior. Puede descargarse gratuitamente desde www.mozilla.com/thunderbird.


Fallo en el instalador de Shockwave Player
Se ha descubierto una vulnerabilidad crítica en el control ActiveX del instalador del reproductor Shockwave de Adobe Macromedia que afecta a las versiones anteriores a la 10.1.0.11. La vulnerabilidad podría permitir a un atacante ejecutar código remoto arbitrario en el equipo de la víctima, la cual debe visitar para ello un sitio malintencionado.

Solución
Debido a que la vulnerabilidad está presente en el instalador, los usuarios que hayan instalado el programa no necesitan realizar ninguna acción. Los que deseen instalarlo, deben asegurarse de que utilizan la última versión disponible del instalador en el sitio web de Adobe Macromedia en www.macromedia.com/shockwave/download.


Problema en GnuPG
PGP es el programa más popular de cifrado y firmado de correo electrónico, ofreciendo la seguridad de que nadie más que el destinatario legítimo será capaz de leer los mensajes, de que estos no serán manipulados y de que nadie le suplantará. GnuPG constituye la alternativa Open Source tras la comercialización de PGP, ofreciendo sus mismas capacidades, pero con la posibilidad de examinar el código fuente.
Se ha descubierto una vulnerabilidad crítica en el proceso de verificación de firmas digitales en todas las versiones de GnuPG anteriores a la 1.4.2.1, con el efecto de que podrían darse por buenas firmas de mensajes modificados siempre y cuando la verificación la realice un programa automatizado, ya que la información mostrada en pantalla funciona correctamente, pero no así el código devuelto por el programa encargado de la verificación.

Solución
Los usuarios de GnuPG en cualquiera de sus versiones (Windows o Linux) deberían actualizarse a la versión 1.4.2.1, cuyas instrucciones de instalación pueden encontrar en www.gnupg.org/download.


Cambio de privilegios en Java
La máquina virtual Java se ha convertido en un elemento fundamental de la Red. Se han detectado siete vulnerabilidades en el JRE que podrían permitir la elevación de privilegios de una applet de Java, con la consecuencia de que podría leer o manipular archivos o ejecutar programas con los mismos privilegios de la víctima.

Solución
Descargando e instalando desde java.sun.com el JDK y JRE 5.0 y posteriores quedan corregidas las vulnerabilidades anteriores.

Contenidos recomendados...

Comentar
Para comentar, es necesario iniciar sesión
Se muestran 0 comentarios
X

Uso de cookies

Esta web utiliza cookies técnicas, de personalización y análisis, propias y de terceros, para facilitarle la navegación de forma anónima y analizar estadísticas del uso de la web. Consideramos que si continúa navegando, acepta su uso. Obtener más información