• Registrarse
  • Iniciar sesión


  • Resultados 1 al 7 de 7

    La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas!!

    La publicación de la versión 2.0.0.2 del navegador Mozilla Firefox corrige numerosos problemas de seguridad, sin embargo, continúa siendo vulnerable a otros fallos encontrados anteriormente por Michal Zalewski. La nueva versión corrige hasta once problemas ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Atención La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas!!

      La publicación de la versión 2.0.0.2 del navegador Mozilla Firefox corrige numerosos problemas de seguridad, sin embargo, continúa siendo vulnerable a otros fallos encontrados anteriormente por Michal Zalewski.

      La nueva versión corrige hasta once problemas de seguridad, algunos de ellos críticos pero no ha dado respuesta a otros fallos descubiertos en los últimos días por Michal Zalewski, el nuevo azote de los navegadores.

      Uno de los fallos más graves corregidos se basa en el manejo de los eventos "onunload" y también Internet Explorer es vulnerable. Estos eventos permiten que una web especialmente manipulada llegue a abortar la carga de una página nueva. Bajo Internet Explorer, esto puede ser aprovechado para falsificar la barra de direcciones y hacer pensar al usuario que se encuentra bajo una dirección legítima. Bajo Firefox, este fallo es mucho más grave (podría permitir la ejecución de código) y es calificado por Mozilla como crítico. Parece haber sido solucionado en tiempo récord en esta última versión.

      Zalewski es fiel seguidor de la filosofía de la revelación total de los detalles de las vulnerabilidades de forma pública, lo que ha obligado a la organización Mozilla a retrasar la publicación de esta última actualización para solucionar en ella algunos fallos descubiertos últimamente. Aun así no han podido con todos. La vulnerabilidad por la que Zalewski llegó a calificar a Firefox como "el mejor amigo de los phishers", no ha sido corregida. Este fallo se basa en que Firefox permite que código script abra una pestaña con una dirección en blanco y se añada contenido arbitrario en ella. También se puede aprovechar para inyectar código en la propia página, lo que facilitaría los ataques phishing.

      Tampoco parece haber sido corregido un fallo que permitiría por ejemplo el robo de cookies a través de la lista de favoritos, desde los que se puede inyectar y ejecutar código script. Según Zalewski, la extensión NoScript no protegería totalmente de este problema.

      Además, el navegador sigue siendo vulnerable a ciertos problemas de denegación de servicio creados por Zalewski que permiten que el navegador deje de responder al visitar una página. Estas pruebas de concepto han sido capaces de afectar a casi todas las nuevas versiones de Firefox creadas desde hace meses.

      Por último, destacar que esta última actualización parece haber solucionado por fin el problema de robo de credenciales almacenadas en el administrador de contraseñas del navegador, que permitía a dominios de terceros tener acceso a ellas a través de un ataque basado en Reverse Cross-Site Request (RCSR). Este fallo fue descubierto a mediados de noviembre de 2006 y ha traído de cabeza a la comunidad alrededor de Firefox para poder implementar una solución aceptable manteniendo una funcionalidad adecuada de toda la aplicación.

      Hasta ahora Firefox no está siendo atacado (por mafias informáticas) como el navegador más usado Internet Explorer. Si su ritmo de crecimiento sigue al alza, deberá demostrar que es capaz de aguantar una eventual embestida en forma de ataques reales que lo tomen como objetivo.

      Así las cosas, se recomienda una inmediata actualización del navegador desde Mozilla.org - Home of the Mozilla Project o el uso de alternativas.


      Más información:

      Vulnerabilidades corregidas en versión 2.0.0.2:
      MFSA 2007-08: onUnload + document.write() memory corruption
      MFSA 2007-07: Embedded nulls in location.hostname confuse same-domain checks
      MFSA 2007-06: Mozilla Network Security Services (NSS) SSLv2 buffer overflow
      MFSA 2007-05: XSS and local file access by opening blocked popups
      MFSA 2007-04: Spoofing using custom cursor and CSS3 hotspot
      MFSA 2007-03: Information disclosure through cache collisions
      MFSA 2007-02: Improvements to help protect against Cross-Site Scripting attacks
      MFSA 2007-01: Crashes with evidence of memory corruption (rv:1.8.0.10/1.8.1.2)

      Memory corruption when onUnload is mixed with document.write()s
      https://bugzilla.mozilla.org/show_bug.cgi?id=371321

      bookmarked data: or javascript: URLs can be used to cross domains
      https://bugzilla.mozilla.org/show_bug.cgi?id=371179

      Firefox bookmark cross-domain surfing vulnerability
      Firefox bookmark cross-domain travel vulnerability

      Fuente
      Última edición por kontainer fecha: 27/02/07 a las 02:01:58 Razón: corregir enlace

    2. #2
      Usuario Avatar de "El Dutche"
      Registrado
      dic 2006
      Ubicación
      Buenos Aires, Argentina
      Mensajes
      1.494

      Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      Qué ? Tanto empeño en bajarme la nueva versión del Firefox, y no corrigió los errores ? Entonces para q hicieron la nueva versión, para nada ? Q mala noticia............

      PD: Igual muy bueno el dato Kontainer, gracias.

    3. #3
      Usuario Avatar de orion_ap
      Registrado
      feb 2007
      Ubicación
      Colombia
      Mensajes
      612

      Atención Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      Hay que ver el fondo de todo esto ... fire fox tiene una gran ventaja a pesar de sus vulnerabilidades.... .... es que no pertenece a ese monopolio de la microsof.. ... y por eso las "mafias informaticas" no se han essañado contra el....

    4. #4
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Articulo Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      La publicación de la versión 2.0.0.2 del navegador Mozilla Firefox corrige numerosos problemas de seguridad;La nueva versión corrige hasta once problemas de seguridad, algunos de ellos críticos;pero no ha dado respuesta a otros fallos descubiertos en los últimos días
      como es costumbre de firefox seguramente en menos de lo pensado nos ofreceran una nueva actualizacion, que corregira la mayoria de los fallos; ahora bien a medida de que firefox siga incrementando su popularidad, atacantes no les faltara; pero menos mal que hay personas como Michal Zalewski que dia a dia descubren fallos y los hacen publico para corregir estas fisuras de este exelente e incomparable explorador
      • asi q no hay que desesperarce

    5. #5
      Usuaria Avatar de F.Girl
      Registrado
      ene 2007
      Ubicación
      Over the rainbow
      Mensajes
      84

      Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      Bueno, nada es perfecto.

    6. #6
      Baneado Avatar de guess who
      Registrado
      feb 2007
      Ubicación
      ...
      Mensajes
      637

      Investigación Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      Bueno, nada es perfecto.

      bueno... a pasarse a opera...

    7. #7
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Malware Re: La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocid

      Cita Originalmente publicado por guess who Ver Mensaje