| Asunto: | VSantivirus No 2763 Año 11, jueves 17 de julio de 2008 | | Fecha: | Miercoles, 16 de Julio, 2008 21:23:29 (-0300) | | Autor: | VSAntivirus.com <vsantivirus @...........com>
|
VSantivirus No 2763 Año 11, jueves 17 de julio de 2008
_____________________________________________________________
Dos actualizaciones críticas para Firefox 2.x y 3.x
_____________________________________________________________
http://www.vsantivirus.com/firefox-20016-301.htm
Dos actualizaciones críticas para Firefox 2.x y 3.x
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy
Dos actualizaciones críticas han sido anunciadas por Mozilla
para Firefox 2.x y el nuevo 3.x, así como para otros
productos. Sin embargo, no están disponibles para todos ellos
a pesar del anuncio. Una tercera actualización es solo para
usuarios de Mac OS, y únicamente afecta a Firefox 3.0.
Uno de los avisos de seguridad, alude a un error detectado a
través del Zero Day Initiative (ZDI), un emprendimiento de
TippingPoint, empresa perteneciente a 3Com, que premia a
quienes encuentren vulnerabilidades en programas de uso
habitual, siempre que se ceda en exclusiva los detalles de
dicha vulnerabilidad. Estos fallos no son hechos públicos
hasta que la empresa involucrada los corrige.
El problema parece ser un desbordamiento de stack (stack
overflow) al manejarse estructuras de hojas de estilo. La
pila (stack), es el espacio de memoria reservada para
almacenar las direcciones de retorno en la ejecución de cada
rutina y otra información importante para la ejecución de los
programas. Un fallo de este tipo, puede ser utilizado para la
ejecución arbitraria de código no deseado.
Se dice que el problema ha sido solucionado en Firefox 3.0.1,
Firefox 2.0.0.16, Thunderbird 2.0.0.16 y SeaMonkey 1.1.11.
El segundo aviso, describe una serie de vulnerabilidades
relacionadas con el manejo de los URIs que afectan a Firefox
2 y Firefox 3.
URI (Uniform Resource Identifier o Identificador Universal de
Recursos), es la secuencia de caracteres que identifica
cualquier recurso (servicio, página, documento, dirección de
correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo
(http:, ftp:, mailto:, etc.), y el nombre del recurso
(//dominio, usuario@dominio, etc.). Un URL (Uniform Resource
Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).
El problema en este caso, puede permitir a un atacante eludir
el control de los archivos chrome utilizados en Firefox y
otros productos de Mozilla. Este tipo de archivo contiene
todos los componentes de la interfase de usuario que se
encuentran fuera del contenido del área de la ventana, es
decir barras de herramientas, menús, barras de progreso y
títulos de las ventanas, y está creado en XUL, un lenguaje
XML creado para facilitar y acelerar el desarrollo del
navegador Mozilla.
Algunos de estos problemas, están relacionados con la famosa
vulnerabilidad de Safari conocida como "Carpet Bombing". Es
decir, si un usuario tiene instalado Safari y Firefox en el
mismo equipo, ello puede ser utilizado para un ataque.
La actualización resuelve el problema en Firefox 2.0.0.16 y
3.0.1.
Los detalles de los errores no serán revelados hasta dentro
de unos días, para darle a los usuarios la oportunidad de
actualizarse. Sin embargo, no son pocos lo que se quejan que
algunos de los productos anunciados como no vulnerables, aún
no están disponibles. Por ejemplo, al momento de publicar
esta alerta, algunos usuarios de Firefox 3.0 no tienen
habilitada la opción para actualizarse a la versión 3.0.0.1
de forma automática, y deben hacerlo manualmente.
Peor están quienes utilizan Thunderbird, ya que aún no pueden
acceder a la versión 2.0.0.16 (de hecho, la última versión es
la 2.0.0.14).
* Últimas versiones NO vulnerables:
- Firefox 3.0.1
- Firefox 2.0.0.16
- Thunderbird 2.0.0.16
- SeaMonkey 1.1.11
* Descarga de Firefox 2.0.0.16 en español:
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.16/win32/es-ES/
* Descarga de Firefox 3.0.1 en español:
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest-3.0/win32/es-ES/
* Referencias:
MFSA 2008-36 Crash with malformed GIF file on Mac OS X
http://www.mozilla.org/security/announce/2008/mfsa2008-36.html
MFSA 2008-35 Command-line URLs launch multiple tabs when Firefox not running
http://www.mozilla.org/security/announce/2008/mfsa2008-35.html
MFSA 2008-34 Remote code execution by overflowing CSS reference counter
http://www.mozilla.org/security/announce/2008/mfsa2008-34.html
* Más información:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html
Mozilla.org Security Center
http://www.mozilla.org/security/
* Relacionados:
Revelan detalles de una vulnerabilidad no solucionada
http://www.vsantivirus.com/18-06-08.htm
Ataque combinado, no solo Safari es culpable
http://www.vsantivirus.com/03-06-08.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________
Pautas generales para mantenerse alejado de los virus
_____________________________________________________________
Recuerde estas pautas para mantener alejado de su computadora
cualquier riesgo de virus o troyanos:
1) Mantenga actualizado su programa antivirus. De poco vale
tener un antivirus si no lo mantenemos actualizado con los
upgrades, updates o add-ons correspondientes. De todos modos,
hoy en día las actualizaciones de la mayoría de los
fabricantes son diarias y automáticas. Si tiene un producto
que no se actualiza automáticamente, piense seriamente en
cambiarlo.
2) No abra ningún mensaje ni archivo recibido a través del
correo electrónico, que no haya sido solicitado, sin importar
su remitente. Tampoco haga clic en enlaces sugeridos en
aquellos correos o mensajes instantáneos que no solicitó.
Ante cualquier duda, simplemente se debe optar por borrar el
mensaje (y archivos adjuntos). Como se dice vulgarmente, "la
confianza mata al hombre", en este caso a la PC.
3) Manténgase informado de cómo operan los virus, y de las
novedades sobre éstos, alertas y anuncios críticos, en sitios
como el nuestro.
4) No descargue nada de sitios Web de los que no tenga
referencias de seriedad, o que no sean medianamente
conocidos. Y si se bajan archivos, proceda como con los
archivos adjuntos. Cópielos a una carpeta y revíselos con su
antivirus debidamente actualizado, antes de optar por
ejecutarlos o abrirlos.
_____________________________________________________________
Sobre este boletín
_____________________________________________________________
La distribución de este boletín es gratuita, y está amparada
bajo los derechos de Copyright registrados por Video Soft
(también los artículos publicados directamente en nuestra
página). Si usted desea usar esta información en cualquier
medio escrito o electrónico, puede hacerlo sin solicitarnos
el permiso respectivo, con la única condición de mencionar su
origen, y remitirnos un e-mail o ejemplar con la ubicación
donde se haga referencia al material usado que haya sido
sacado de este boletín o de la página de VSAntivirus.
Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas
registradas.
Los artículos de otros autores han sido incluidos de acuerdo
a la política de Copyright adoptada por cada uno de ellos, y
su inclusión en nuestro boletín se rige por dichas políticas,
sin embargo, para su uso en otro medio, se deberá solicitar
la debida autorización.
_____________________________________________________________
Video Soft es una empresa privada que desde hace más de 10
años se dedica a la seguridad informática, siendo líder en el
tema a través de su portal VSAntivirus, el cuál es visitado
diariamente por decenas de miles de usuarios de habla hispana
en todo el mundo. Desde julio de 2004, Video Soft representa
en Uruguay al antivirus NOD32 (marca registrada de ESET). Más
información: http://www.eset.com.uy/
_____________________________________________________________
Cualquier duda o comentario sobre esta lista de correo, envíe
un e-mail a cualquiera de estas direcciones:
jllopez@nativo.com
videosoft@videosoft.net.uy
_____________________________________________________________
VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com
_____________________________________________________________
Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta
Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja
_____________________________________________________________
VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________
En memoria de mi amado padre (1914-2005)
_____________________________________________________________
VSantivirus No 2763 Año 11, jueves 17 de julio de 2008
|
VSantivirus No 276
Responder a este mensaje
