Aunque con atraso, ha aparecido la actualización de seguridad 2.0.0.12 para Thunderbird, anunciada en los boletines de Mozilla al publicar la última versión de Firefox, hace dos semanas, ya que muchas de las vulnerabilidades eran compartidas con el navegador.
Thunderbird es el popular cliente de correo basado en los productos de la familia Mozilla, el cuál ha sido desatendido últimamente por la compañía.
La actualización resuelve vulnerabilidades que nunca fueron arregladas en la versión 1.5 (tampoco en las posteriores), además de corregir 6 nuevas, 5 de ellas compartidas con Firefox. De estas 6, 3 son críticas, 2 moderadas y 1 de riesgo alto.
Una de las vulnerabilidades críticas, está relacionada con un desbordamiento de búfer que afecta la memoria dinámica del programa, cuando se intenta visualizar un correo electrónico con un formato MIME modificado, y que puede permitir la ejecución remota de código.
Otra vulnerabilidad crítica corregida, puede permitir la ejecución de código a partir de un JavaScript malicioso invocado en el correo electrónico o en un enlace embebido en él. Thunderbird es vulnerable si JavaScript se encuentra habilitado en el correo.
Otros dos problemas corregidos, están relacionados con la posibilidad de que un script se ejecute con privilegios elevados, pudiendo permitir el ingreso a códigos maliciosos.
Thunderbird también es vulnerable al agujero de seguridad que afecta a todos los usuarios que hayan instalado ciertas extensiones de Firefox que utilizan una estructura de directorio plana (las llamadas “flat”), en lugar de archivos .JAR. La nueva versión corrige el problema.
Uno de los boletines, que no estuvo disponible de inmediato cuando se publicó Firefox 2.0.0.12 (el MFSA 2008-07), menciona otra de las vulnerabilidades ahora corregida por Thunderbird. La misma está relacionada con la revelación de información sensible a partir de imágenes BMP. Este problema es compartido por otros productos y fabricantes (por ejemplo Opera).
Una vulnerabilidad menos crítica, involucra técnicas que permiten engañar al usuario para permitir otras clases de ataques. La corrupción de archivos locales también es posible.
Son vulnerables las versiones 2.0.0.9 y anteriores (las versiones 2.0.0.10 y 2.0.0.11 nunca fueron publicadas).
Última versión NO vulnerable:
- Thunderbird 2.0.0.12
Descarga de Firefox 2.0.0.12 en español:
http://tinyurl.com/2a5h23
http://www.mozilla-europe.org/es/products/thunderbird/
Referencias:
MFSA 2008-01 Crashes with evidence of memory corruption (rv:1.8.1.12)
http://www.mozilla.org/security/announce/2008/mfsa2008-01.html
MFSA 2008-03 Privilege escalation, XSS, Remote Code Execution
http://www.mozilla.org/security/announce/2008/mfsa2008-03.html
MFSA 2008-05 Directory traversal via chrome: URI
http://www.mozilla.org/security/announce/2008/mfsa2008-05.html
MFSA 2008-07 Possible information disclosure in BMP decoder
http://www.mozilla.org/security/announce/2008/mfsa2008-07.html
MFSA 2008-08 File action dialog tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-08.html
MFSA 2008-12 Heap buffer overflow in external MIME bodies
http://www.mozilla.org/security/announce/2008/mfsa2008-12.html
Relacionados:
Firefox 2.0.0.12 soluciona múltiples fallos
http://www.vsantivirus.com/firefox-2-0-0-12.htm
Opera soluciona problemas y critica a Mozilla
http://www.vsantivirus.com/opera-926.htm
Más información:
Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html
Mozilla.org Security Center
www.mozilla.org/security/
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
