Nueva versión de Opera, la 9.26

opera_linux.jpg

Esta nueva versión corrige las siguientes vulnerabilidades:

* La primera vulnerabilidad (calificada como moderada en nivel de
riesgo) está causada por un error en el manejo de valores de atributos
DOM (Document Object Model) cuando se importa XML a un documento. Se
podría dar la circunstancia de que los valores se saltaran los filtros
de limpieza, lo que podría ser explotado por un atacante remoto para
perpetrar ataques de cross-site scripting si los valores son usados
como contenido del documento.

* Otra vulnerabilidad (calificada como moderada en nivel de riesgo)
está causada por un fallo de diseño al manejar las entradas de archivo
en campos de formularios, y podría ser aprovechada por un atacante
remoto para engañar a un usuario para que subiera archivos arbitrarios
a la red, revelando así información sensible.

* La última vulnerabilidad (calificada como alta en nivel de riesgo)
está causada por un fallo en el manejo de comentarios “a medida”
(custom comments) contenidos en las propiedades de una imagen. Cuando
se muestran las propiedades de la imagen, Opera podría tratar por error
los comentarios como un script, lo que podría ser aprovechado por un
atacante remoto para ejecutar código JavaScript arbitrario en un
contexto de seguridad incorrecto cuando se muestran los comentarios
de una imagen especialmente manipulada.

Opera fue informado del segundo de los problemas por parte del equipo
de Mozilla, puesto que afectaba también a Firefox. Según eWeek, la
vulnerabilidad ha sido objeto de una pequeña controversia entre los
desarrolladores de ambos navegadores, puesto que desde Mozilla se
hicieron públicos los datos técnicos del fallo antes de que Opera
tuviera tiempo de lanzar una actualización para subsanar el error.
En cualquier caso, esta vulnerabilidad está emparentada directamente
con el problema de la función ‘OnKeyDown’ que ya sufría Mozilla Firefox
desde su versión 2.0.0.7 a principios de 2007.

La nueva versión se puede descargar aqui 

Via Hispasec 

Múltiples errores en Mozilla Firefox, Thunderbird y Seamonkey

seamonkey-logo-original.png

Copio y pego de Hispasec:

Se han descubierto seis vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante para eludir restricciones de seguridad, causar denegaciones de servicio o tomar control total de la máquina afectada.

* Un error de corrupción de memoria en JavaScript a la hora de comprobar datos malformados. Un atacante podría aprovechar esto para ejecutar código arbitrario o causar una denegación de servicio.

* Un error en la característica de autocompletado a la hora de procesar datos malformados. Un atacante podría aprovechar esto para consumir toda la memoria del sistema y causar una denegación de servicio.

* Un error en la comprobación de los datos de entrada a la hora de procesar nombres y rutas de cookies. Un atacante podría aprovechar esto para provocar una denegación de servicio a través de una web especialmente manipulada.

* Un error en la autenticación APOP a la hora de procesar las respuestas a las solicitudes de autenticación. Un atacante podría aprovechar esto para revelar ciertas credenciales de usuario a través de dar ciertas respuestas a las peticiones de autenticación del servidor APOP.

* Un error en la función nsEventReceiverSH::AddEventListenerHelper. Un atacante podría aprovechar esto para modificar y acceder a datos locales del sistema afectado desde una página remota engañando al usuario para que visitase un sitio especialmente manipulado.

* Un error en el manejo de popups XUL. Un atacante podría aprovechar esto para modificar o esconder partes del navegador tales como la barra de navegación, etc.

Los productos afectados por estas vulnerabilidades son:
Mozilla Firefox anterior a 2.0.0.4.
Mozilla Firefox anterior a 1.5.0.12.
Mozilla SeaMonkey anterior a 1.0.9.
Mozilla SeaMonkey anterior a 1.1.2.
Mozilla Thunderbird anterior a 2.0.0.4.
Mozilla Thunderbird anterior a 1.5.0.12.

Se recomienda actualizar a las siguientes versiones.
Mozilla Firefox versión 2.0.0.4 o 1.5.0.12

Mozilla SeaMonkey versión 1.0.9 o 1.1.2

Mozilla Thunderbird versión 2.0.0.4 o 1.5.0.12