USN-853-1 Octubre 31, 2009 firefox-3.0, firefox-3.5, xulrunner-1.9, xulrunner-1.9.1

sismo
11/06/2009 - 11:23

Errores detectados:

CVE-2009-1563:

Alin Rad Pop descubrió un desbordamiento de buffer en firefox cuando convierte cadenas de texto en números de punto flotante.  Si un usuario fuera engañado en ver un sitio web malicioso, un atacante remoto puede causar una negación de servicio o posiblemente ejecutar código en forma arbitraría con los privilegios dle usuario que invocó el programa.

CVE-2009-3274:

Jeremy Brown descubrió que el manegador de descargas de Firefox (Download Manager) es vulnerable a ataques de links simbólicos.  Un atacante local puede aprovechar esta vulnerabilidad y sobreescribir archivos con los privilegios del usuario que invocó el programa.

CVE-2009-3370:

Paul Stone descubrió una falla en el formulario de historial de Firefox.  Si un usuario es engañado en ver un sitio web malicioso, un atacante remoto puede acceder esta información y robar información confidencial.

CVE-2009-3371:

Orlando Berrera descubrio que Firefox no libera correctamente la memoria cuando usa web-workers.  Si un usuario es engañado en ver un sitio web malicioso, un atacante remoto puede causar una negación de servicio y posiblemente ejecutar código en forma arbitraría con los privilegios del usuario que invocó el programa.  Solo Ubuntu 9.10 esta afectado.

CVE-2009-3372:

Una falla fue descubierta en la forma que Firefox procesa los archivos de configuración automática de Proxy (archivos PAC).  Si un usuario configura el navegador para usar un archivo PAC con ciertas expresiones regulares, un atacante remoto puede causar una negación de servicio o posiblemente ejecutar código con los privilegios del usuario que invoca el programa.

CVE-2009-3373:

Un desbordamiento de buffer fue descubierto en el interprete de imágenes GIF de Mozilla.  Si un usuario es engañado en ver un sitio web malicioso, un atacante remoto puede causar una negación del servicio o ejecutar código en forma arbitraria con los privilegios del usuario que invocó el programa.

CVE-2009-3374:

Fue descubierta una falla en el motor JavaScript de Firefox.  Un atacante remoto puede aprovechar esto para ejecutar scripts desde el contenido de una página con los privilegios de chrome.

CVE-2009-3375:

Gregory Fleischer descubrió que el chequeo de mismo origen (same-origin) en Firefox puede ser salteado utilizando la función document.getSelection.  Un atacante puede usar esto para leer información de otros dominios.

CVE-2009-3376:

Jesse Ruderman y Sid Stamm descubrieron que Firefox no muestra correctamente nombres de archivos que contengan caractéres sobreescritura RTL (right-to-left override characters).  Si un usuario es engañado descargar un archivo malicioso con un nombre especialmente diseñado, un atacante puede aprovechar esto para engañar al usaurio y abrir un archivo distinto al que el usuario estaba esperando.

CVE-2009-3377

Varias fallas fueron descubiertas en bibliotecas multimedia de terceros.  Si un usuario es engañado en ver un archivo multimedia, un atacante remoto puede causar una negación de servicios o posiblemente ejecutar código en forma arbitraria con los privilegios del usuario que invocó el programa.  Este problema solo afecta a Ubuntu 9.10.

CVE-2009-3380, CVE-2009-3381, CVE-2009-3382, CVE-2009-3383:

Vladimir Vukicevic, Jesse Ruderman, Martijn Wargers, Daniel Banchero, David Keeler, Boris Zbarsky, Thomas Frederiksen, Marcia Knous, Carsten Book, Kevin Brosnan, David Anderson y Jeff Walden descubrieron varias fallas en los motores JavaScrits de Firefox.  Si un usuario es engañado en ver un sitio web malicioso, un atacante remoto podría causar una negación de servicio o posiblemente ejecutar código en forma arbitraría con los privilegios del usuario que invocó el programa.

Versiones afectadas:

  • Ubuntu 8.04 LTS
  • Ubuntu 8.10
  • Ubuntu 9.04
  • Ubuntu 9.10

Este aviso también aplica para versiones Kubuntu, Edubuntu, and Xubuntu.

Solución:

El problema puede ser corregido actualizando el sistema a la siguiente versión de paquete:

  • Ubuntu 8.04 LTS:
    • firefox-3.0 3.0.15+nobinonly-0ubuntu0.8.04.1 
    • xulrunner-1.9 1.9.0.15+nobinonly-0ubuntu0.8.04.1 
  • Ubuntu 8.10: 
    • abrowser 3.0.15+nobinonly-0ubuntu0.8.10.1 
    • firefox-3.0 3.0.15+nobinonly-0ubuntu0.8.10.1 
    • xulrunner-1.9 1.9.0.15+nobinonly-0ubuntu0.8.10.1 
  • Ubuntu 9.04: 
    • abrowser 3.0.15+nobinonly-0ubuntu0.9.04.1 
    • firefox-3.0 3.0.15+nobinonly-0ubuntu0.9.04.1 
    • xulrunner-1.9 1.9.0.15+nobinonly-0ubuntu0.9.04.1 
  • Ubuntu 9.10: 
    • firefox-3.5 3.5.4+nobinonly-0ubuntu0.9.10.1 
    • xulrunner-1.9.1 1.9.1.4+nobinonly-0ubuntu0.9.10.1

Finalizada la instalación se debe reiniciar Firefox o cualquier otra aplicación que use xulrunner, como el Epiphany, para que los cambios tengan efecto.

Distribuir contenido 
 

Más Vistas

Views today
Tutoriales para 8.04 4
Tutoriales para 10.04 4
Curriculum Vitae 4
Ubuntu How To's 4
Tutoriales para 9.04 2
more
Distribuir contenido