Problema de seguridad en Mozilla Thunderbird

26/04/2006 - 10:48 por Madera Pura | Informe spam
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz
angela@videosoft.net.uy

Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)

Preguntas similare

Leer las respuestas

#1 noSign
26/04/2006 - 23:16 | Informe spam
La informacion de referencia:
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045


esta parcheada y corregida en
Thunderbird 1.5.0.2
http://www.mozilla.org/security/ann...06-26.html

la referencia corregida:
CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917



y los exploit que indican de Renaud Lifchitz
http://www.securityfocus.com/bid/16881/exploit

son de 28 de febrero de 2006


El fallo se reproduce como indican en Thunderbird 1.5 , pero , la CVE-2006-1045
esta corregida en Thunderbird 1.5.0.2


saludos.
noSign



"Madera Pura" escribió en el mensaje news:%23t$
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz


Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)
Respuesta Responder a este mensaje
#2 noSign
26/04/2006 - 23:16 | Informe spam
La informacion de referencia:
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045


esta parcheada y corregida en
Thunderbird 1.5.0.2
http://www.mozilla.org/security/ann...06-26.html

la referencia corregida:
CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917



y los exploit que indican de Renaud Lifchitz
http://www.securityfocus.com/bid/16881/exploit

son de 28 de febrero de 2006


El fallo se reproduce como indican en Thunderbird 1.5 , pero , la CVE-2006-1045
esta corregida en Thunderbird 1.5.0.2


saludos.
noSign



"Madera Pura" escribió en el mensaje news:%23t$
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz


Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)
Respuesta Responder a este mensaje
#3 Rodolfo Parrado Gutiérrez [MVP]
27/04/2006 - 00:27 | Informe spam
Yo revisaria de nuevo... mas info

http://www.hispasec.com/unaaldia/2741

26/04/2006 - Graves fallos de seguridad en Mozilla Firefox e Internet Explorer


Michal Zalewski ha descubierto un grave fallo para Internet Explorer.
Se ha identificado una vulnerabilidad que puede ser aprovechada por
atacantes para ejecutar código arbitrario. El fallo se debe a una
corrupción en la memora a la hora de procesar scripts HTML manipulados.
Si el código contiene etiquetas OBJECT especialmente formadas,
el navegador dejaría de funcionar y, probablemente, quedaría
en disposición de inyectar código y poder ser ejecutado.

Parece que hoy por hoy, el simple hecho de navegar por Internet puede
resultar un deporte de riesgo, y esta vez no se puede apuntar con el
dedo exclusivamente a los "sospechosos habituales". La principal
alternativa para la navegación, Mozilla Firefox acababa de solventar
unas veinte vulnerabilidades con su última versión 1.5.0.2 del 13 de
abril, cuando ya el día 24 se publica un nuevo fallo que provoca que el
navegador deje de funcionar (se provoque denegación de servicio). En
este caso, no está claro que el problema pueda resultar en la ejecución
de código, aunque es probable.

La vulnerabilidad se debe a un error de manejo de Javascript en
js320.dll y pcom_core.dll relacionado con la función
iframe.contentWindow.focus. Un usuario remoto podría crear una página
HTML especialmente manipulada tal que, al ser cargada, dispararía un
desbordamiento de memoria intermedia (búfer). Existe prueba de concepto
capaz de hacer que Firefox deje de funcionar abruptamente.

La popularidad del navegador de la fundación Mozilla se eleva cada día
y, aunque el porcentaje aún se vea superado con creces por Internet
Explorer, supone ya un jugoso número de usuarios en cifras totales.
Firefox puede estar pagando ya el precio de la fama. Cabía esperar que
ante el creciente interés por la aplicación, muchos más ojos lo
escudriñaran. El hecho de que su código sea visible facilita el estudio
e identificación de vulnerabilidades, además de encontrarse en una
versión todavía "joven". Estos factores influirán sin duda en que,
en lo sucesivo, sigan apareciendo errores.

Ante estas potenciales vulnerabilidades, habrá que estar atento a cómo
y en cuánto tiempo serán resueltas. También a un factor externo al
navegador pero importante: la (por ahora escasa) cantidad de malware
que phishers y demás fauna de Internet destinen específicamente a
aprovecharse de estos hipotéticos fallos. Estas serán condiciones
decisivas para seguir considerando a Firefox un software fiable y
razonablemente seguro en el futuro.

Para ninguno de los dos errores mencionados existe parche oficial por el
momento. Ante tan oscuro panorama, siempre quedarán alternativas como
Konqueror y Opera, navegadores con una cantidad de vulnerabilidades
(descubiertas) tan pequeña como su porcentaje de uso. Ventajas de
pertenecer a una minoría.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2741/comentar

Más Información:

Firefox Javascript flaw:
http://www.milw0rm.com/exploits/1716

MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/...45422.html



­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
"noSign" wrote in message news:

La informacion de referencia:
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045


esta parcheada y corregida en
Thunderbird 1.5.0.2
http://www.mozilla.org/security/ann...06-26.html

la referencia corregida:
CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917



y los exploit que indican de Renaud Lifchitz
http://www.securityfocus.com/bid/16881/exploit

son de 28 de febrero de 2006


El fallo se reproduce como indican en Thunderbird 1.5 , pero , la CVE-2006-1045
esta corregida en Thunderbird 1.5.0.2


saludos.
noSign



"Madera Pura" escribió en el mensaje news:%23t$
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz


Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)




Respuesta Responder a este mensaje
#4 Rodolfo Parrado Gutiérrez [MVP]
27/04/2006 - 00:27 | Informe spam
Yo revisaria de nuevo... mas info

http://www.hispasec.com/unaaldia/2741

26/04/2006 - Graves fallos de seguridad en Mozilla Firefox e Internet Explorer


Michal Zalewski ha descubierto un grave fallo para Internet Explorer.
Se ha identificado una vulnerabilidad que puede ser aprovechada por
atacantes para ejecutar código arbitrario. El fallo se debe a una
corrupción en la memora a la hora de procesar scripts HTML manipulados.
Si el código contiene etiquetas OBJECT especialmente formadas,
el navegador dejaría de funcionar y, probablemente, quedaría
en disposición de inyectar código y poder ser ejecutado.

Parece que hoy por hoy, el simple hecho de navegar por Internet puede
resultar un deporte de riesgo, y esta vez no se puede apuntar con el
dedo exclusivamente a los "sospechosos habituales". La principal
alternativa para la navegación, Mozilla Firefox acababa de solventar
unas veinte vulnerabilidades con su última versión 1.5.0.2 del 13 de
abril, cuando ya el día 24 se publica un nuevo fallo que provoca que el
navegador deje de funcionar (se provoque denegación de servicio). En
este caso, no está claro que el problema pueda resultar en la ejecución
de código, aunque es probable.

La vulnerabilidad se debe a un error de manejo de Javascript en
js320.dll y pcom_core.dll relacionado con la función
iframe.contentWindow.focus. Un usuario remoto podría crear una página
HTML especialmente manipulada tal que, al ser cargada, dispararía un
desbordamiento de memoria intermedia (búfer). Existe prueba de concepto
capaz de hacer que Firefox deje de funcionar abruptamente.

La popularidad del navegador de la fundación Mozilla se eleva cada día
y, aunque el porcentaje aún se vea superado con creces por Internet
Explorer, supone ya un jugoso número de usuarios en cifras totales.
Firefox puede estar pagando ya el precio de la fama. Cabía esperar que
ante el creciente interés por la aplicación, muchos más ojos lo
escudriñaran. El hecho de que su código sea visible facilita el estudio
e identificación de vulnerabilidades, además de encontrarse en una
versión todavía "joven". Estos factores influirán sin duda en que,
en lo sucesivo, sigan apareciendo errores.

Ante estas potenciales vulnerabilidades, habrá que estar atento a cómo
y en cuánto tiempo serán resueltas. También a un factor externo al
navegador pero importante: la (por ahora escasa) cantidad de malware
que phishers y demás fauna de Internet destinen específicamente a
aprovecharse de estos hipotéticos fallos. Estas serán condiciones
decisivas para seguir considerando a Firefox un software fiable y
razonablemente seguro en el futuro.

Para ninguno de los dos errores mencionados existe parche oficial por el
momento. Ante tan oscuro panorama, siempre quedarán alternativas como
Konqueror y Opera, navegadores con una cantidad de vulnerabilidades
(descubiertas) tan pequeña como su porcentaje de uso. Ventajas de
pertenecer a una minoría.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2741/comentar

Más Información:

Firefox Javascript flaw:
http://www.milw0rm.com/exploits/1716

MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/...45422.html



­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
"noSign" wrote in message news:

La informacion de referencia:
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045


esta parcheada y corregida en
Thunderbird 1.5.0.2
http://www.mozilla.org/security/ann...06-26.html

la referencia corregida:
CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917



y los exploit que indican de Renaud Lifchitz
http://www.securityfocus.com/bid/16881/exploit

son de 28 de febrero de 2006


El fallo se reproduce como indican en Thunderbird 1.5 , pero , la CVE-2006-1045
esta corregida en Thunderbird 1.5.0.2


saludos.
noSign



"Madera Pura" escribió en el mensaje news:%23t$
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz


Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)




Respuesta Responder a este mensaje
#5 NAT
27/04/2006 - 10:09 | Informe spam
Presentas dos vulnerabilidades , una OBJECT de IE, y otra javascript de FF.

Esperaremos tiempos de respuestas de ambas vulnerabilidades.


Respecto la vulnerabilidad javascript de FF, en un navegador FF 1.5.0.2 con el plugin NoScript , no es reproducible el
fallo.


saludos.


P.D.: ¿donde esta el fallo de Thunderbird comentado en Hispasec?
el fallo CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917

¿esta corregido , o cambiamos de tipo de vulnerabilidad?


saludos.



"Rodolfo Parrado Gutiérrez [MVP]" escribió en el mensaje
news:
Yo revisaria de nuevo... mas info

http://www.hispasec.com/unaaldia/2741

26/04/2006 - Graves fallos de seguridad en Mozilla Firefox e Internet Explorer


Michal Zalewski ha descubierto un grave fallo para Internet Explorer.
Se ha identificado una vulnerabilidad que puede ser aprovechada por
atacantes para ejecutar código arbitrario. El fallo se debe a una
corrupción en la memora a la hora de procesar scripts HTML manipulados.
Si el código contiene etiquetas OBJECT especialmente formadas,
el navegador dejaría de funcionar y, probablemente, quedaría
en disposición de inyectar código y poder ser ejecutado.

Parece que hoy por hoy, el simple hecho de navegar por Internet puede
resultar un deporte de riesgo, y esta vez no se puede apuntar con el
dedo exclusivamente a los "sospechosos habituales". La principal
alternativa para la navegación, Mozilla Firefox acababa de solventar
unas veinte vulnerabilidades con su última versión 1.5.0.2 del 13 de
abril, cuando ya el día 24 se publica un nuevo fallo que provoca que el
navegador deje de funcionar (se provoque denegación de servicio). En
este caso, no está claro que el problema pueda resultar en la ejecución
de código, aunque es probable.

La vulnerabilidad se debe a un error de manejo de Javascript en
js320.dll y pcom_core.dll relacionado con la función
iframe.contentWindow.focus. Un usuario remoto podría crear una página
HTML especialmente manipulada tal que, al ser cargada, dispararía un
desbordamiento de memoria intermedia (búfer). Existe prueba de concepto
capaz de hacer que Firefox deje de funcionar abruptamente.

La popularidad del navegador de la fundación Mozilla se eleva cada día
y, aunque el porcentaje aún se vea superado con creces por Internet
Explorer, supone ya un jugoso número de usuarios en cifras totales.
Firefox puede estar pagando ya el precio de la fama. Cabía esperar que
ante el creciente interés por la aplicación, muchos más ojos lo
escudriñaran. El hecho de que su código sea visible facilita el estudio
e identificación de vulnerabilidades, además de encontrarse en una
versión todavía "joven". Estos factores influirán sin duda en que,
en lo sucesivo, sigan apareciendo errores.

Ante estas potenciales vulnerabilidades, habrá que estar atento a cómo
y en cuánto tiempo serán resueltas. También a un factor externo al
navegador pero importante: la (por ahora escasa) cantidad de malware
que phishers y demás fauna de Internet destinen específicamente a
aprovecharse de estos hipotéticos fallos. Estas serán condiciones
decisivas para seguir considerando a Firefox un software fiable y
razonablemente seguro en el futuro.

Para ninguno de los dos errores mencionados existe parche oficial por el
momento. Ante tan oscuro panorama, siempre quedarán alternativas como
Konqueror y Opera, navegadores con una cantidad de vulnerabilidades
(descubiertas) tan pequeña como su porcentaje de uso. Ventajas de
pertenecer a una minoría.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2741/comentar

Más Información:

Firefox Javascript flaw:
http://www.milw0rm.com/exploits/1716

MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/...45422.html



­-
Rodolfo Parrado Gutiérrez
https://mvp.support.microsoft.com/p...9d07ff1244
Bogotá - Colombia
­-
MVP Windows Server Security
MCT, MCSE, MCSA, MCDST, MCP+I
­-
Este mensaje se proporciona "como está" sin garantías de ninguna índole, y no otorga ningún derecho.
­-
"noSign" wrote in message news:

La informacion de referencia:
CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045


esta parcheada y corregida en
Thunderbird 1.5.0.2
http://www.mozilla.org/security/ann...06-26.html

la referencia corregida:
CVE-2006-1045
https://bugzilla.mozilla.org/show_bug.cgi?id28917



y los exploit que indican de Renaud Lifchitz
http://www.securityfocus.com/bid/16881/exploit

son de 28 de febrero de 2006


El fallo se reproduce como indican en Thunderbird 1.5 , pero , la CVE-2006-1045
esta corregida en Thunderbird 1.5.0.2


saludos.
noSign



"Madera Pura" escribió en el mensaje news:%23t$
Hash: SHA1

VSantivirus No. 2116 Año 10, martes 25 de abril de 2006

Thunderbird puede revelar información sensible
http://www.vsantivirus.com/vul-thun...240406.htm

Por Angela Ruiz


Mozilla Thunderbird posee múltiples vulnerabilidades que permiten a un
atacante obtener información del usuario del programa afectado.

Los problemas ocurren porque la aplicación no proporciona una adecuada
restricción en su intérprete HTML para impedir la descarga de contenido
remoto en los mensajes recibidos.

Estas vulnerabilidades pueden permitir a un atacante remoto acceder a
información potencialmente sensible (incluyendo dirección IP de la
víctima), lo que puede ayudar al primero en futuros ataques. El atacante
también puede saber si el usuario leyó el mensaje, y en ese caso, el
momento exacto en que lo hizo.

Mozilla Thunderbird 1.5.x es vulnerable a estos problemas, y otras
versiones probablemente también lo sean.

No se requiere un exploit para aprovecharse de estos problemas. Se han
publicado ejemplos de referencia.


Software vulnerable:



Solución:

No se han publicado soluciones al momento de emitirse esta alerta.


Más información:

Mozilla Thunderbird Multiple Remote Information Disclosure Vulnerabilities
http://www.securityfocus.com/bid/16881/info

CVE-2006-1045 (Common Vulnerabilities and Exposures project)
http://www.cve.mitre.org/cgi-bin/cv...-2006-1045

CVE (Common Vulnerabilities and Exposures), es la lista de nombres
estandarizados para vulnerabilidades y otras exposiciones de seguridad
que han tomado estado público, la cuál es operada por cve.mitre.org,
corporación patrocinada por el gobierno norteamericano.


Relacionados:

Thunderbird
http://www.mozilla.com/thunderbird/
http://www.mozilla-europe.org/es/pr...underbird/

Proyecto NAVE - Traducción de Mozilla
http://nave.escomposlinux.org/produ...cargas.php


Créditos:

crashfr (sysdream.com)




Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida