SANTIAGO: En concreto, Secunia informa sobre dos vulnerabilidades en PHP, que pueden ser usadas por intrusos para eludir algunas funciones de seguridad, o para poner en riesgo sistemas inseguros.
Una de las vulnerabilidades se debe a que la función strip_tags() no maneja correctamente algunas tags de HTML, como por ejemplo las denominadas . Tal deficiencia puede ser usada para realizar un ataque de tipo cross-site-script contra sitios que sólo usen la funcionalidad strip_tags() para evitar tales ataques.
Secunia escribe que un tag HTML, como por ejemplo que incluya un carácter binario como , no es una entidad HTML válida. Aún así, algunos navegadores, como Internet Explorer y Safari, eliminan tales elementos no válidos y los tratan como entidades HTML correctas. Secunia describe tal situación como muy desafortunada, aparte de ser una funcionalidad innecesaria.
La segunda vulnerabilidad se atribuye a diversos errores en la terminación de límite de memoria de PHP, con que el código pone fin a las llamadas, como por ejemplo durante el uso de Zend HashTables. Este error puede ser usado para ejecutar código aleatorio después de haber corrompido el encabezamiento. La vulnerabilidad presupone que está activo la condición memory_limit.
Ambas vulnerabilidades han sido detectadas en la versión 4.3.7 y anteriores, como asimismo en las ediciones beta de la versión 5.0.0.
La actualización de seguridad está disponible desde el sitio de PHP.net.