21 de Septiembre, 2005

Resueltas cinco vulnerabilidades en Opera 8.50

Por marcelo-ar - 21 de Septiembre, 2005, 4:43, Categoría: General

Esta versión del navegador Opera resuelve cinco problemas de seguridad:

  • El primer problema es debido a un error en el cliente de correo de Opera, en el cual los archivos adjuntos son abiertos sin advertencia alguna directamente del directorio en que se ubica la cache del usuario, lo cual podría ser explotado para ejecutar codigo Javascript arbitrario en el contexto de seguridad de "file://".
  • La segunda vulnerabilidad es debida a un error en el cliente de correo de Opera que no valida correctamente las extensiones de los nombres de archivo, lo cual podría ser explotado por atacantes para realizar engaños con extensiones de archivo mediante el agregado del caracter "." al final del nombre del mismo.
  • El tercer fallo es debido a un error no especificado de arrastrar-y-soltar que permite la subida (upload) de archivos no intencional.
  • El cuarto problema es debido a un error no especificado en el manejo de la directiva "must-revalidate cache" en paginas https.
  • El quinto fallo es debido a un error no especificado al manejar la codificación "cookie comment".
Productos afectados:
Opera 8.02 y probablemente versiones anteriores.

Solución:
Actualizar a Opera 8.50
http://www.opera.com/download/

Las primeras dos vulnerabilidades fueron descubiertas por Jakob Balle de Secunia Research, y la tercera por Michael Krax (mikx.de)

Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-1789
Opera for Windows Security Update Fixes Multiple Vulnerabilities

Secunia Research 20/09/2005
Opera Mail Client Attachment Spoofing and Script Insertion

Opera 8.50 for Windows Changelog

http://www.opera.com/docs/changelogs/windows/850/

Nota: A partir de esta versión, Opera es 100% gratuito, es decir que a diferencia de versiones anteriores, ya no incluye el banner con publicidad en la barra de herramientas.

Disponible Firefox 1.0.7

Por marcelo-ar - 21 de Septiembre, 2005, 4:40, Categoría: General

Ya esta disponible Mozilla Firefox 1.0.7 con la solución definitiva para vulnerabilidad IDN Link Buffer Overflow, un fallo que se presenta solo en Linux al lanzar Firefox desde otras aplicaciones, y ademas resuelve otros bugs de menor relevancia.

Instalador Windows:
Firefox Setup 1.0.7.exe

Version ZIP no instalable:
firefox-1.0.7.en-US.win32.zip

Importante:

  • Quienes usen los instaladores, solo deben tomar la precaución de desinstalar la version anterior antes de instalar la nueva.
  • Los que utilicen los ZIP Builds, solo deberán descomprimirlo en una carpeta limpia.
  • En ningún caso deberán borrar el/los perfiles existentes ya que eso ocasionaría la perdida de la configuración actual, contraseñas + nombres de usuario almacenados y extensiones o temas instalados.
Actualizacion 22/09/2005
La version "es-AR" (español Argentina) ya esta disponible aquí:
Firefox Setup 1.0.7.exe

El Blog

Calendario

<<   Septiembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30   

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker