Aviso de seguridad de Debian
DSA-779-2 mozilla-firefox -- varias vulnerabilidades
- Fecha del informe:
- 20 de ago de 2005
- Paquetes afectados:
- mozilla-firefox
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 318061.
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 14242.
En el diccionario CVE de Mitre: CVE-2005-2260, CVE-2005-2261, CVE-2005-2262, CVE-2005-2263, CVE-2005-2264, CVE-2005-2265, CVE-2005-2266, CVE-2005-2267, CVE-2005-2268, CVE-2005-2269, CVE-2005-2270. - Información adicional:
-
Comprobamos que, desafortunadamente, la actualización para Mozilla Firefox de DSA 779-1 suponía una regresión en varios casos. Puesto que el protocolo habitual de la migración aparentemente no funcionaba, esta actualización es básicamente la versión 1.0.6 con el número de versión antiguo, y por tanto, llamado aún 1.0.4-*. Para una mejor comprensión del problema, se reproduce a continuación el texto del aviso original:
Se han descubierto varios problemas en Mozilla Firefox, un navegador web ligero basado en Mozilla. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CAN-2005-2260
La interfaz de usuario del navegador no distinguía adecuadamente entre los eventos generados por el usuario y los eventos sintetizados no fiables, que hacía más fácil para los atacantes remotos realizar acciones peligrosas que normalmente sólo las podría realizar manualmente el usuario.
- CAN-2005-2261
Los guiones XML se podían ejecutar aunque Javascript estuviese desactivado.
- CAN-2005-2262
Al usuario se le podía engañar para que ejecutara código JavaScript arbitrario usando un URL JavaScript como fondo de escritorio.
- CAN-2005-2263
Era posible que un atacante remoto ejecutase una función de llamada en el contexto de otro dominio (por ejemplo, un marco).
- CAN-2005-2264
Al abrir un enlace malicioso en la barra lateral, era posible que los atacantes remotos robasen información sensible.
- CAN-2005-2265
Un olvido en el saneamiento de la entrada de InstallVersion.compareTo() podía provocar que la aplicación cayese.
- CAN-2005-2266
Los atacantes remotos podían robar información sensible, como cookies y contraseñas, de sitios web accediendo a los datos de los marcos adyacentes.
- CAN-2005-2267
Usando aplicaciones independietes como Flash y QuickTime para abrir un URL javascript:, era posible que un atacante remoto robase información sensible y, posiblemente, que ejecutase código arbitrario.
- CAN-2005-2268
Era posible que un cuadro de diálogo Javascript hiciese spoofing sobre un sitio de confianza y facilitase los ataques de phishing.
- CAN-2005-2269
Los atacantes remotos podían modificar las propiedades de ciertas etiquetas en los nodos DOM, lo que podría conducir a la ejecución de guiones o de código arbitrario.
- CAN-2005-2270
La familia de navegadores Mozilla no clonaba adecuadamente los objetos base, lo que permitía que los atacantes remotos ejecutasen código arbitrario.
La distribución estable anterior (woody) no se ve afectada por estos problemas.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 1.0.4-2sarge3.
Para la distribución inestable (sid), estos problemas se han corregido en la versión 1.0.6-1.
Le recomendamos que actualice los paquetes de Mozilla Firefox.
- CAN-2005-2260
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.dsc
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4.orig.tar.gz
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3.diff.gz
- Alpha:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_alpha.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_alpha.deb
- AMD64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_amd64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_amd64.deb
- ARM:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_arm.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_arm.deb
- Intel IA-32:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_i386.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_i386.deb
- Intel IA-64:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_ia64.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_ia64.deb
- HPPA:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_hppa.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_hppa.deb
- Motorola 680x0:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_m68k.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_m68k.deb
- Big endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mips.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mips.deb
- Little endian MIPS:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_mipsel.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_mipsel.deb
- PowerPC:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_powerpc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_powerpc.deb
- IBM S/390:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_s390.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_s390.deb
- Sun Sparc:
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-gnome-support_1.0.4-2sarge3_sparc.deb
- http://security.debian.org/pool/updates/main/m/mozilla-firefox/mozilla-firefox-dom-inspector_1.0.4-2sarge3_sparc.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso revisado.