Por Angela Ruiz
angela@videosoft.net.uy

Aunque con atraso, ha aparecido la actualización de seguridad 2.0.0.12 para Thunderbird, anunciada en los boletines de Mozilla al publicar la última versión de Firefox, hace dos semanas, ya que muchas de las vulnerabilidades eran compartidas con el navegador.

Thunderbird es el popular cliente de correo basado en los productos de la familia Mozilla, el cuál ha sido desatendido últimamente por la compañía.

La actualización resuelve vulnerabilidades que nunca fueron arregladas en la versión 1.5 (tampoco en las posteriores), además de corregir 6 nuevas, 5 de ellas compartidas con Firefox. De estas 6, 3 son críticas, 2 moderadas y 1 de riesgo alto.

Una de las vulnerabilidades críticas, está relacionada con un desbordamiento de búfer que afecta la memoria dinámica del programa, cuando se intenta visualizar un correo electrónico con un formato MIME modificado, y que puede permitir la ejecución remota de código.

Otra vulnerabilidad crítica corregida, puede permitir la ejecución de código a partir de un JavaScript malicioso invocado en el correo electrónico o en un enlace embebido en él. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo.

Otros dos problemas corregidos, están relacionados con la posibilidad de que un script se ejecute con privilegios elevados, pudiendo permitir el ingreso a códigos maliciosos.

Thunderbird también es vulnerable al agujero de seguridad que afecta a todos los usuarios que hayan instalado ciertas extensiones de Firefox que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR. La nueva versión corrige el problema.

Uno de los boletines, que no estuvo disponible de inmediato cuando se publicó Firefox 2.0.0.12 (el MFSA 2008-07), menciona otra de las vulnerabilidades ahora corregida por Thunderbird. La misma está relacionada con la revelación de información sensible a partir de imágenes BMP. Este problema es compartido por otros productos y fabricantes (por ejemplo Opera).

Una vulnerabilidad menos crítica, involucra técnicas que permiten engañar al usuario para permitir otras clases de ataques. La corrupción de archivos locales también es posible.

Son vulnerables las versiones 2.0.0.9 y anteriores (las versiones 2.0.0.10 y 2.0.0.11 nunca fueron publicadas).


Última versión NO vulnerable:

- Thunderbird 2.0.0.12


Descarga de Firefox 2.0.0.12 en español:

ftp.osuosl.org :: Oregon State University Open Source Lab
Mozilla Thunderbird en español | Mozilla Europe


Referencias:

MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12)
MFSA 2008-01: Crashes with evidence of memory corruption (rv:1.8.1.12)

MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution
MFSA 2008-03: Privilege escalation, XSS, Remote Code Execution

MFSA 2008-05 Directory traversal via chrome: URI
MFSA 2008-05: Directory traversal via chrome: URI

MFSA 2008-07 Possible information disclosure in BMP decoder
MFSA 2008-07: Possible information disclosure in BMP decoder

MFSA 2008-08 File action dialog tampering
MFSA 2008-08: File action dialog tampering

MFSA 2008-12 Heap buffer overflow in external MIME bodies
MFSA 2008-12: Heap buffer overflow in external MIME bodies


Relacionados:

Firefox 2.0.0.12 soluciona múltiples fallos
Firefox 2.0.0.12 soluciona múltiples fallos

Opera soluciona problemas y critica a Mozilla
Opera soluciona problemas y critica a Mozilla


Más información:

Known Vulnerabilities in Mozilla Products
Mozilla Foundation Security Advisories

Mozilla.org Security Center
Security Center








(c) Video Soft - Video Soft
(c) VSAntivirus - VSAntivirus