Varias vulnerabilidades en Mozilla Firefox, Thunderbird y SeaMonkey

Se han descubierto unas cuantas vulnerabilidades en Mozilla Firefox, SeaMonkey y Thunderbird, con distintos niveles de seguridad:

* Un error a la hora de asignar valores especialmente manipulados a través de Java en el objeto window.navigator. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página.

* Una corrupción de memoria a la hora de manejar eventos XPCOM concurrentes. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página o de un correo.

* Un error a la hora de acceder a métodos DOM nativos que puede ser aprovechado por atacantes para tener acceso a cookies y otra información sensible.

* Un error a la hora de borrar variables temporales usadas en la creación de nuevos objetos Function, que puede ser aprovechado por atacantes para comprometer el sistema a través de la visita a una página o correo.

* Un error de desbordamiento de heap a la hora de procesar adjuntos en formato Vcard. Es posible ejecutar código arbitrario si contiene un campo base64 especialmente formado.

* Un error a la hora de borrar objetos temporales. Un atacante puede aprovechar este problema para ejecutar código arbitrario a través de la visita a una página o de un correo.

* La referencia JavaScript a los objetos frame y window no se elimina debidamente cuando se borra la referencia al contenido. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página o a través de un correo.

* Un desbordamiento de enteros a la hora de procesar cadenas muy largas pasadas al método toSource, que puede ser aprovechado para ejecutar código arbitrario.

* Un error en el constructor Object, que puede aprovecharse para comprometer un sistema a través de una página o correo.

* Una escalada de privilegios a la hora de manejar scritps Proxy AutoConfig (PAC) especialmente manipulados. Esto puede permitir a atacantes remotos eludir restricciones de seguridad.

* Errores en los permisos UniversalBrowserRead y UniversalBrowserWrite pueden ser aprovechados por scripts para elevar privilegios e instalar programas arbitrarios en sistemas vulnerables.

* Un error a la hora de procesar objetos XPCNativeWrapper especialmente manipulados permite a atacantes perpetrar ataques de cross site scripting.

* Un error a la hora de manejar URIs de chrome puede ser aprovechado por atacantes para ejecutar scripts arbitrarios con privilegios elevados.

* Varios errores de corrupción de memoria pueden ser aprovechador para comprometer el sistema a través de una página especialmente manipulada.

Las versiones vulnerables son:

En Mozilla Firefox, 1.5.0.4 y anteriores.
En Mozilla Thunderbird, 1.5.0.4 y anteriores.
En Mozilla SeaMonkey, 1.0.2 y anteriores.

Se recomienda la actualización a la última versión estable de estos programas para mayor seguridad.
Via Hispasec

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Límite de tiempo se agote. Por favor, recargar el CAPTCHA por favor.