SoloCodigo

Informática en general => Seguridad y Criptografía => Vulnerabilidades => Mensaje iniciado por: RadicalEd en Viernes 5 de Mayo de 2006, 15:22

Título: Firefox 1.5.0.3 Corrige Vulnerabilidad Crítica
Publicado por: RadicalEd en Viernes 5 de Mayo de 2006, 15:22
 Mozilla Firefox 1.5.0.2 y anteriores (1.5.x), son afectados por una vulnerabilidad que ocasiona la corrupción de la memoria utilizada por el programa, con la posibilidad de ejecutar comandos de forma arbitraria.

El problema se produce cuando se procesan determinados scripts HTML conteniendo referencias a objetos que han sido borrados y la propiedad "designMode" está habilitada.

Un atacante podría crear un sitio web malicioso para tomar el control de un sistema, si el usuario está utilizando alguna de las versiones vulnerables cuando lo visita.

No son afectadas las versiones 1.0.x de Firefox, ni Mozilla Suite 1.7.x.

Software vulnerable:

- Mozilla Firefox versión 1.5.0.2
- Mozilla Firefox versión 1.5.0.1
- Mozilla Firefox versión 1.5

Software NO vulnerable:

- Mozilla Firefox 1.5.0.3
- Mozilla Firefox 1.0.x

Solución

Actualizarse a las versiones no vulnerables, desde el siguiente enlace:

Mozilla Firefox 1.5.0.3 (en español) o superior
http://www.mozilla-europe.org/es/products/firefox/ (http://www.mozilla-europe.org/es/products/firefox/)

Referencias

Mozilla Foundation Security Advisory 2006-30
Deleted object reference when designMode="on"
www.mozilla.org/security/announce/2006/mfsa2006-30.html (http://www.mozilla.org/security/announce/2006/mfsa2006-30.html)

crash initialising iframe as html edit where html loaded
contains a second iframe [@ nsQueryInterface::operator()]
https://bugzilla.mozilla.org/show_bug.cgi?id=334515 (https://bugzilla.mozilla.org/show_bug.cgi?id=334515)

Firefox 1.5.0.2 Remote Code execution and DoS
http://forums.mozillazine.org/viewtopic.php?t=408603 (http://forums.mozillazine.org/viewtopic.php?t=408603)

Firefox "contentWindow.focus()" Memory Corruption Weakness
http://secunia.com/advisories/19802/ (http://secunia.com/advisories/19802/)

Mozilla Firefox Deleted Object Reference Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2006/1614 (http://www.frsirt.com/english/advisories/2006/1614)

CVE-2006-1993 (Common Vulnerabilities and Exposures project)
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1993 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-1993)

Relacionados

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/productos/descargas.php (http://nave.escomposlinux.org/productos/descargas.php)

Firefox
http://www.mozilla.org/products/firefox/ (http://www.mozilla.org/products/firefox/)
http://www.mozilla-europe.org/es/products/firefox/ (http://www.mozilla-europe.org/es/products/firefox/)

Mozilla Suite
http://www.mozilla.org/products/mozilla1.x/ (http://www.mozilla.org/products/mozilla1.x/)
http://www.mozilla-europe.org/es/products/mozilla1x/ (http://www.mozilla-europe.org/es/products/mozilla1x/)

Thunderbird
http://www.mozilla.com/thunderbird/ (http://www.mozilla.com/thunderbird/)
http://www.mozilla-europe.org/es/products/thunderbird/ (http://www.mozilla-europe.org/es/products/thunderbird/)

SeaMonkey
http://www.mozilla.org/projects/seamonkey/ (http://www.mozilla.org/projects/seamonkey/)
http://nave.escomposlinux.org/productos/seamonkey/ (http://nave.escomposlinux.org/productos/seamonkey/)