Actualizaciones críticas para productos Mozilla

as siguientes vulnerabilidades han sido calificadas como críticas por el equipo de Mozilla, ya que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.

1- Se han corregido múltiples vulnerabilidades en los motores de navegación, diseño y JavaScript que podrían causar una corrupción de memoria, permitiendo así la ejecución de código. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

2- Se ha descubierto que la característica de restauración de sesión podría ser utilizada para violar la política de mismo origen, permitiendo la ejecución de JavaScript en el contexto de un sitio diferente (cross-site scripting) y también con los privilegios de chrome (escalada de privilegios). Afecta a Firefox 2 y 3.

3- Existe un error al procesar las respuestas http-index-format del tipo MIME, que podría ser aprovechado por un atacante para ejecutar código arbitrario por medio de una respuesta HTTP index especialmente manipulada.

4- Denegación de servicio y ejecución remota de código en nsFrameManager provocado por un error de condición de carrera. El error existe cuando un método DOM de un formulario HTML específico es llamado antes de que el objeto se haya inicializado por completo. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

5- Denegación de servicio y ejecución remota de código a través de archivos SWF, descargados dinámicamente desde una función JavaScript exterior, que podrían acceder a memoria no mapeada en el módulo Flash. Afecta a Firefox 2 y Seamonkey.

6- Alterando el objeto window.__proto__.__proto__ es posible causar una denegación de servicio en el motor de navegación en incluso lograr la ejecución de código arbitrario. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

También se han solventado las siguientes vulnerabilidades de un alcance menor:

7- Revelación de información sensible de la caché local a través de accesos directos .url. Afecta a Seamonkey y Firefox 2 y 3.

8- Escalada a privilegios de chrome a través de URI's de tipo 'file:'. Afecta a Firefox 3.

9- Cross site scripting en "nsXMLHttpRequest::NotifyEventListeners()" que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web distinto. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird (si tiene habilitado el JavaScript para los correos).

10- Salto de restricciones y ejecución de código JavaScript a través de la propiedad "-moz-binding" de las hojas de estilo CSS. Afecta a Seamonkey y Firefox 2 y 3.

11- Error de parseo en documentos E4X. Afecta a Firefox 2 y 3, Seamonkey y Thunderbird.

12- Salto de restricciones y robo de imágenes a través de elementos canvas y redirecciones HTTP. Afecta a Firefox 2, Seamonkey y Thunderbird.

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.18 ó 3.0.4, Thunderbird 2.0.0.18 (cuando esté disponible) y SeaMonkey 1.1.13: www.mozilla.com/