Debian liberó una actualización para mozilla-thunderbird. Esta repara varias vulnerabilidades que pueden explotarse para burlar ciertas restricciones de seguridad, obtener información sensible, realizar ataques de Cross-site Scripting y comprometer un sistema vulnerable.
Debian Security Advisory
DSA-781-1 mozilla-thunderbird
Debian GNU/Linux 3.0 alias woody | Mozilla Thunderbird | < | 1.0.2-2.sarge1.0.6 |
Debian liberó una actualización para mozilla-thunderbird. Esta repara varias vulnerabilidades que pueden explotarse por personas maliciosas para burlar ciertas restricciones de seguridad, obtener información sensible, realizar ataques de Cross-site Scripting y comprometer un sistema vulnerable.
Los atacantes remotos podían leer porciones de memoria en una cadena Javascript mediante el método de reemplazo lambda. (CAN-2005-0989)
Al intérprete de Javascript se le podía engañar para que continuase la ejecución en una dirección de memoria errónea, lo que podía permitir que los atacantes provocasen una negación de servicio (por caída de la aplicación) y, posiblemente, la ejecución de código arbitrario. (CAN-2005-1159)
Los atacantes remotos podían sobreescribir ciertas propiedades o métodos de los nodos DOM y obtener privilegios. (CAN-2005-1160)
Los atacantes remotos podían sobreescribir ciertas propiedades o métodos debido a la limitación inadecuada de evaluaciones de Javascript y objetos Script y obtener privilegios. (CAN-2005-1532)
Los scripts XML se podían ejecutar aunque Javascript estuviese desactivado. (CAN-2005-2261)
Un olvido en el saneamiento de la entrada de InstallVersion.compareTo() podía provocar que la aplicación cayese. (CAN-2005-2265)
Los atacantes remotos podían robar información sensible, como cookies y contraseñas, de sitios web accediendo a los datos de los marcos adyacentes. (CAN-2005-2266)
Los atacantes remotos podían modificar las propiedades de ciertas etiquetas en los nodos DOM, lo que podría conducir a la ejecución de scripts o de código arbitrario. (CAN-2005-2269)
La familia de navegadores de Mozilla no clonaba adecuadamente los objetos base, lo que permitía que los atacantes remotos ejecutasen código arbitrario. (CAN-2005-2270)
Security Bypass.
Cross-site Scripting.
Exposición de información del sistema.
Exposición de información sensible.
Acceso al sistema.
Aplicar los paquetes actualizados.
-- Debian GNU/Linux 3.1 alias sarge --
Fuentes:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6.dscAlpha:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_alpha.debAMD64:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_amd64.debARM:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_arm.debIntel IA-32:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_i386.debIntel IA-64:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_ia64.debHPPA:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_hppa.debMotorola 680x0:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_m68k.debBig endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_mips.debLittle endian MIPS:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_mipsel.debPowerPC:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_powerpc.debIBM S/390:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_s390.debSun Sparc:
http://security.debian.org/pool/updates/main/m/mozilla-thunderbird/mozilla-thunderbird_1.0.2-2.sarge1.0.6_sparc.debMayor información.
http://www.debian.org/La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT