[Previo por Fecha] [Siguiente por Fecha] [Previo por Hilo] [Siguiente por Hilo]

[Hilos de Discusión] [Fecha] [Tema] [Autor]

[Sop.Tec.LinuxPPP] [Boletin UNAM-CERT 2006-006] Múltiples Vulnerabilidades en Productos Mozilla 

-----BEGIN PGP SIGNED MESSAGE-----

    ------------------------------------------------------------------
                               UNAM-CERT

                   Departamento de Seguridad en Computo

                              DGSCA- UNAM

                Boletín de Seguridad UNAM-CERT 2006-06

             Múltiples Vulnerabilidades en Productos Mozilla
   -------------------------------------------------------------------

  El CERT/UNAM-CERT, a través de sus equipos de respuesta a incidentes de
  Seguridad en Cómputo, informan que existen varias vulnerabilidades en el
  navegador web Mozilla y productos derivados, el más serio podría
  permitir a un atacante remoto ejecutar código arbitrario en un sistema
  afectado.


     Fecha de Liberación: 7 de Febrero de 2006

     Ultima Revisión:     7 de Febrero de 2006

     Fuente:              CERT/CC y diversos reportes de Equipos de
                          Respuesta a Incidentes, así como Foros y
                          Listas de Discusión.

    Sistemas Afectados
    ------------------
     - Firefox web  browser
     - Mozilla mail client
     - Mozilla web browser
     - Thunderbird mail client


    Riesgo
    ------
      Alto


    Problema de Vulnerabilidad
    --------------------------
      Remoto


    Tipo de Vulnerabilidad
    ----------------------
      Múltiples vulnerabilidades


    I. Descripción
    ==============

      Varias vulnerabilidades han sido reportadas en el navegador web
      Mozilla y productos derivados. Información detallada está disponible
      en las notas individuales de las vulnerabilidades:

      	 * VU#592425- Productos basados en mozilla fallan al validar la
	   entrada del usuario en el atributo del nombre en
	   "XULDocument.persist"

      Una vulnerabilidad en algunos productos Mozilla podrían permitir a un
      atacante remoto ejecutar comandos de Javascript con los permisos del
      usuario que está ejecutando la aplicación afectada.

      	* VU#759273 - Vulnerabilidad de corrupción de memoria en Mozilla
          QueryInterface

      El navegador web Mozilla Firefox y el cliente de correo Thunderbird
      contienen una vulnerabilidad de corrupción de memoria que podría
      permitir a un atacante remoto ejecutar código arbitrario.


    II. Impacto
    ===========
      El impacto más grave de estas vulnerabilidades es poder permitir a un
      atacante remoto ejecutar código arbitrario con los privilegios del
      usuario que está ejecutando la aplicación afectada. Otros daños
      incluyen una negación de servicio o acceso a la información local.


    III. Solucion
    ==============

      Actualizar a Mozilla Firefox_1.5.0.1 o SeaMonkey_1.0.
      Para los productos basados en Mozilla que no tengan actualizaciones
      disponibles, se recomienda fuertemente a los usuarios deshabilitar
      JavaScript.


    IV. Apéndice
    ============
          o Mozilla Foundation Security Advisories - <http://
            www.mozilla.org/security/announce/>>

          o Mozilla Foundation Security Advisories - <http://
            www.mozilla.org/projects/security/known-vulnerabilities.html>

          o US-CERT Vulnerability Note VU#592425 - <http://www.kb.cert.org/
            vuls/id/592425>

          o US-CERT Vulnerability Note VU#759273 - <http://www.kb.cert.org/
            vuls/id/759273>

          o US-CERT Vulnerability Notes Related to February Mozilla Securit
            Advisories - <http://www.kb.cert.org/vuls/
            byid?searchview&query=mozilla_feb_2006>

          o CVE-2006-0296 - <http://cve.mitre.org/cgi-bin/
            cvename.cgi?name=CVE-2006-0296>

          o CVE-2006-0295 - <http://cve.mitre.org/cgi-bin/
            cvename.cgi?name=CVE-2006-0295>

          o Firefox - Rediscover the Web - <http://www.mozilla.com/firefox/
            >>

          o The SeaMonkey Project - <http://www.mozilla.org/projects/
            seamonkey/>

   -----------------------------------------------------------------
    El Departamento de Seguridad en Cómputo/UNAM-CERT agradece el apoyo en
    la elaboración, revisión y traducción de éste boletín a:

	* Sergio Alavez Miguel (salavez at seguridad dot unam dot mx)
	* Jose Ines Gervacio (jgervacio at seguridad dot unam dot mx)
    -----------------------------------------------------------------

    INFORMACIÓN
    ===========
    Éste documento se encuentra disponible en su formato original en la
    siguiente dirección:

        Español:
        * Boletin de Seguridad UNAM-CERT-2006-006
		http://www.cert.org.mx/boletin/?vulne=5054

        Ingles:
        * US CERT - Technical Cyber Security Alert TA06-038A
		http://www.us-cert.gov/cas/techalerts/TA06-038A.html


   Mas informacion:

                                 UNAM-CERT
                   Equipo de Respuesta a Incidentes UNAM
                   Departamento de Seguridad en Cómputo
                    E-Mail: seguridad en seguridad unam mx
                          http://www.cert.org.mx
                       http://www.seguridad.unam.mx
                        ftp://ftp.seguridad.unam.mx
                             Tel: 56 22 81 69
                              Fax: 56 22 80 43


-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8

iQEVAwUBQ+lsSHAvLUtwgRsVAQHbpgf+KoQXNKi6ZfStkYej8uqLLGUz12Te3ani
J4Ku1nHCvDFQCPiYCCC6zaRZyY0zc0ecDIU2ecM6ZkjaPgV8ZceFVtjVo3FXv0ZN
/Cbodw5GAMWQmYOO5CmBUCiaZJBGh4uwN0MLlNfiCbHNFgHfhKVN5W+m/CpGIYql
UqOOupjeEBuFaDgi/ulzsa0drncuQwNvOFp5vCXo2c2qy03tdAd7nH0wXYsz9TUS
Pd673ZkSLd6cUe/P/4vth6E/eyf4lK9dUICe39xnjE5xWJM5hxZjTyPKN1VpcGct
+uOR8+wyQKV3KnyGi5mX8qTHkPAZh6w/l83a4sia2X1Rzg4h8tf18w==
=GAoM
-----END PGP SIGNATURE-----
[Hilos de Discusión] [Fecha] [Tema] [Autor]