1 2 3 4 5 6

Vulnerabilidades rss pdf

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2006-020 Los productos Mozilla contienen múltiples vulnerabilidades

El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de Seguridad en Cómputo, informan que el navegador web Mozilla y productos derivados contienen diversas vulnerabilidades, la más seria podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.

  • Fecha de Liberación: 2-Jun-2006
  • Ultima Revisión: 3-Jun-2006
  • Fuente: CERT/CC y diversos reportes de Equipos de Respuesta a Incidentes, así como Foros y Listas de Discusión.
  • Riesgo Alto
  • Tipo de Vulnerabilidad Múltiples vulnerabilidades

Sistemas Afectados

Firefox web browser 1.5.0.4
SeaMonkey 1.0.2
Thunderbird 1.5.0.4
  1. Descripción

    Varias Vulnerabilidades se han reportado en el navegador Mozilla y productos derivados. Información más detallada se encuentra en las notas de vulnerabilidades:

    VU#237257 - Elevación de privilegios usando addSelectionListener

    Una vulnerabilidad en el método addSelectionListener permite escalar privilegios, puede permitir la ejecución de código arbitrario.

    VU#421529 - Mozilla contiene una vulnerabilidad de buffer overflow en crypto.signText();

    Mozilla contiene una vulnerabilidad de buffer overflow en crypto.signText(); que permite la ejecución de código arbitrario.

    VU#575969 - Mozilla podría procesar declaradores con contenido definido con privilegios elevados, lo que permite a un atacante ejecutar código arbitrario.

    VU#243153 - Mozilla podría asociar atributor persistentes XUL con un URL incorrecto.

    Mozilla podría asociar atributor persistentes XUL con un URL incorrecto, lo que podría permitir a un atacante a ejecutar código arbitrario.

    VU#466673 - Mozilla contiene varias vulnerabilidades de corrupción de memoria.

    Mozilla contiene varias vulnerabilidades de corrupción de memoria, lo que permite a un intruso ejecutar código arbitrario.

  2. Impacto

    El impacto de mayor seriedad de estas vulnerabilidades es que podría permitir a un intruso ejecutar código arbitrario con privilegios del usuario que esté ejecutando la aplicación. Otros efectos incluyen Negación de Servicio o mostrar información localmente.

  3. Solución

    Actualización

    Actualiza a Mozilla Firefox 1.5.0.4, Mozilla Thunderbird 1.5.0.4 o SeaMonkey 1.0.2.

    Deshabilitar Java Script

    Estas vulnerabilidades pueden ser mitigadas al deshabilitar JavaScript.

  4. Apéndice A. Referencias

    * Nota de Vulnerabilidad US-CERT VU#237257 -

    http://www.kb.cert.org/vuls/id/237257

    * Nota de Vulnerabilidad US-CERT VU#421529 -

    http://www.kb.cert.org/vuls/id/421529

    * Nota de Vulnerabilidad US-CERT VU#575969 -

    http://www.kb.cert.org/vuls/id/575969

    * Nota de Vulnerabilidad US-CERT VU#243153 -

    http://www.kb.cert.org/vuls/id/243153

    * Nota de Vulnerabilidad US-CERT VU#466673 -

    http://www.kb.cert.org/vuls/id/466673

    * Avisos de Seguridad Fundación Mozilla -

    http://www.mozilla.org/security/announce/

    * Nota de Vulnerabilidad US-CERT Relacionada al Aviso de Seguridad Mozilla de Junio

    http://www.kb.cert.org/vuls/byid?searchview&query=firefox_1504

    * Avisos de Seguridad Fundación Mozilla -

    http://www.mozilla.org/projects/security/known-vulnerabilities.html

    * Firefox - Redescubrir la Web -

    http://www.mozilla.com/firefox/

    * Thunderbird - Reclame su Inbox -

    http://www.mozilla.com/thunderbird/

    * Proyecto SeaMonkey -

    http://www.mozilla.org/projects/seamonkey/

    * Asegura Tu Navegador Web -

    http://www.us-cert.gov/reading_room/securing_browser/browser_security.html#Mozilla_Firefox

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Inés Gervacio Gervacio (jgervacio at seguridad dot unam dot mx)
  • Ruben Daniel Varela Velasco (rvarela at correo dot seguridad dot unam dot mx)
  • Ruben Aquino Luna (raquino at seguridad dot unam dot mx)
  • Alejandro Nuñez Sandoval (anunez at seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT