Este mes destacamos varias vulnerabilidades en una amplia gama de productos, la mayoría de ellos de una gran difusión: Thunderbird, Shockwave Player, GnuPG y Java.

Vulnerabilidades en Thunderbird

El cliente de correo Thunderbird constituye la más seria amenaza a la hegemonía de Outlook Express, a quien supera indiscutiblemente en algunos aspectos como el filtrado, las búsquedas, capacidad RSS y, por encima de todo, la lucha antispam. Thunderbird incorpora por supuesto todos los avances de un cliente de correo moderno, entre ellos la posibilidad de ejecutar fragmentos de código en JavaScript. Sin embargo, se ha descubierto que el motor de presentación WYSIWYG filtra insuficientemente el código JavaScript, por lo que resulta posible escribir JavaScript en el atributo SRC de la etiqueta IFRAME, conduciendo a su ejecución cuando se edita el correo, por ejemplo, al responder al mensaje recibido, incluso aunque se haya desactivado JavaScript en las preferencias (Herramientas » Opciones » Privacidad » Bloquear JavaScript en mensajes de correo). Como consecuencia de este ataque, la víctima podría revelar información confidencial.

Solución

La nueva versión Thunderbird 1.5 corrige la vulnerabilidad anterior. Puede descargarse gratuitamente desde www.mozilla.com/thunderbird.

Fallo en el instalador de Shockwave Player

Se ha descubierto una vulnerabilidad crítica en el control ActiveX del instalador del reproductor Shockwave de Adobe Macromedia que afecta a las versiones anteriores a la 10.1.0.11. La vulnerabilidad podría permitir a un atacante ejecutar código remoto arbitrario en el equipo de la víctima, la cual debe visitar para ello un sitio malintencionado.

Solución

Debido a que la vulnerabilidad está presente en el instalador, los usuarios que hayan instalado el programa no necesitan realizar ninguna acción. Los que deseen instalarlo, deben asegurarse de que utilizan la última versión disponible del instalador en el sitio web de Adobe Macromedia en www.macromedia.com/shockwave/download.

Problema en GnuPG

PGP es el programa más popular de cifrado y firmado de correo electrónico, ofreciendo la seguridad de que nadie más que el destinatario legítimo será capaz de leer los mensajes, de que estos no serán manipulados y de que nadie le suplantará. GnuPG constituye la alternativa Open Source tras la comercialización de PGP, ofreciendo sus mismas capacidades, pero con la posibilidad de examinar el código fuente.

Se ha descubierto una vulnerabilidad crítica en el proceso de verificación de firmas digitales en todas las versiones de GnuPG anteriores a la 1.4.2.1, con el efecto de que podrían darse por buenas firmas de mensajes modificados siempre y cuando la verificación la realice un programa automatizado, ya que la información mostrada en pantalla funciona correctamente, pero no así el código devuelto por el programa encargado de la verificación.

Solución

Los usuarios de GnuPG en cualquiera de sus versiones (Windows o Linux) deberían actualizarse a la versión 1.4.2.1, cuyas instrucciones de instalación pueden encontrar en www.gnupg.org/download.

Cambio de privilegios en Java

La máquina virtual Java se ha convertido en un elemento fundamental de la Red. Se han detectado siete vulnerabilidades en el JRE que podrían permitir la elevación de privilegios de una applet de Java, con la consecuencia de que podría leer o manipular archivos o ejecutar programas con los mismos privilegios de la víctima.

Solución

Descargando e instalando desde java.sun.com el JDK y JRE 5.0 y posteriores quedan corregidas las vulnerabilidades anteriores.