1 2 3 4 5 6

Boletines RSS PDF

Coordinación de Seguridad de la Información - UNAM-CERT -- DGTIC-UNAM

Boletin de Seguridad UNAM-CERT-2006-014 Múltiples vulnerabilidades en productos Mozilla

Varias vulnerabilidades han sido reportadas en el navegador web Mozilla y productos derivados, la más seria podría permitir a un atacante remoto ejecutar código arbitrario en un sistema afectado.

  • Fecha de Liberación: 17-Abr-2006
  • Ultima Revisión: 20-Abr-2006
  • Fuente: http://www.us-cert.gov/cas/techalerts/TA06-107A.html
  • Riesgo Alto
  • Problema de Vulnerabilidad Remoto
  • Tipo de Vulnerabilidad Ejecución remota de código y negación de servicio
  1. Descripción

    Varias vulnerabilidades han sido reportadas en el navegador web Mozilla y productos derivados. Información mas detallada está disponible en las notas de vulnerabilidad individuales, incluyendo:

    VU#932734 - Vulnerabilidad en crypto.generateCRMFRquest() de Mozilla

    Existe una vulnerabilidad en la rutina JavaScript generateCRMFRquest() de Mozilla que podría permitir a un atacante remoto ejecutar código arbitrario. (CVE-2006-1728)

    VU#968814 - Vulnerabilidad en seguridad JavaScript de Mozilla

    Los productos Mozilla fallan en el manejo de las restricciones de seguridad en JavaScript. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. (CVE-2006-1726)

    VU#179014 - Vulnerabilidad integer overflow en CSS de Mozilla

    Los productos Mozilla contienen una vulnerabilidad de tipo integer overflow que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. (CVE-2006-1730)

    VU#488774 - Vulnerabilidad en XBL de Mozilla

    Los productos Mozilla fallan al restringir el acceso a código XBL privilegiado. Esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario. (CVE-2006-1733)

    VU#842094 - Vulnerabilidad en función JavaScript "clone parent" en Mozilla

    Los productos Mozilla fallan al restringir el acceso a las funciones JavaScript "clone parent". Esta vulnerabilidad podría permitir a un atacante ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-1734)

    VU#813230 - Productos Mozilla vulnerables a escalación de privilegios mediante XBL.method.eval

    Una vulnerabilidad en la manera en que los productos Mozilla y programas derivados manejan ciertos métodos XBL podría permitir a un atacante remoto ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-1735)

    VU#736934 - Productos Mozilla vulnerables a corrupción de memoria mediante una secuencia de etiquetas HTML en particular

    Una vulnerabilidad en la manera en que los productos Mozilla y programas derivados manejan ciertas etiquetas HTML podría permitir a un atacante remoto ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-0749)

    VU#935556 - Productos Mozilla podrían permitir que código CSS escribir mas allá del final de un arreglo

    Una vulnerabilidad en la manera en que productos Mozilla y programas derivados manejan ciertos métodos CSS podría permitir a un atacante remoto terminar la aplicación o ejecutar código arbitrario en un sistema vulnerable. (CVE-2006-1739)

    VU#350262 - Vulnerabilidades de corrupción de memoria por DHTML en Mozilla

    Los productos Mozilla contienen varias vulnerabilidades no especificadas en la manera en como manejan el DHTML. Estas vulnerabilidades podrían permitir a un atacante remoto ejecutar código arbitrario o causar una negación de servicio. (CVE-2006-1724)

    VU#252324 - Vulnerabilidad en el despliegue de estilos en Mozilla

    Los productos Mozilla contienen una vulnerabilidad no especificada en la forma en que manejan el despliegue de estilos. Esta vulnerabilidad podría permitir a un atacante remoto ejecutar código arbitrario o causar una negación de servicio.

    VU#329500 - Productos Mozilla vulnerables a una corrupción en memoria debido a una expresión regular larga en JavaScript

    Una vulnerabilidad en la manera en que el motor JavaScript de los productos Mozilla y programas derivados manejan una expresión regular larga y podría permitir que un atacante remoto termine la aplicación o ejecute código arbitrario en un sistema vulnerable.

  2. Impacto

    El impacto mas severo de estas vulnerabilidades podría permitir a un atacante remoto la ejecución de código con los privilegios del usuario que ejecute la aplicación. Otros efectos incluyen una negación de servicio o acceso a la información local.
  3. Solución

    Actualizar a Mozilla Firefox 1.5.0.2, Mozilla Thunderbird 1.5.0.2 ó SeaMonkey 1.0.1. De acuerdo con Mozilla.org, Thunderbird 1.5.0.2 será liberado el 18 de Abril del 2006.

    Se recomienda a los usuarios aplicar las opciones descritas en la nota individual de la vulnerabilidad antes de que las actualizaciones sean aplicadas.

  4. Apéndice A. Referencias

La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:

  • J. Inés Gervacio Gervacio (jgervacio at seguridad dot unam dot mx)
  • Sergio Alavez Miguel (salavez at seguridad dot unam dot mx)
  • David Jiménez Domínguez (djimenez at correo dot seguridad dot unam dot mx)

UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información

incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47


Universidad Nacional Autonoma de México Aviso legal |  Créditos |  Staff |  Administración
Copyright © Todos los derechos reservados
UNAM - CERT