• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    Un parche de Firefox publicado en diciembre empeora una vulnerabilidad

    Mozilla ha publicado, en un anuncio descolgado del resto, que la última versión 2.0.0.2 del navegador Firefox también corrige una vulnerabilidad introducida por un parche anterior. El parche, publicado en diciembre, no sólo no corregía ...

          
    1. #1
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Articulo Un parche de Firefox publicado en diciembre empeora una vulnerabilidad

      Mozilla ha publicado, en un anuncio descolgado del resto, que la última versión 2.0.0.2 del navegador Firefox también corrige una vulnerabilidad introducida por un parche anterior. El parche, publicado en diciembre, no sólo no corregía el fallo que pretendía sino que empeoraba la situación permitiendo la ejecución de código arbitrario.

      Mozilla publicó el 25 de febrero una nueva versión de Firefox que solucionaba numerosos problemas de seguridad, aunque no todos los conocidos hasta el momento. El día 5 de marzo, hace público un boletín que anuncia que en esa nueva versión aparecida a finales de febrero se ha corregido una grave vulnerabilidad que permitía la ejecución de código. Lo curioso, es que ese fallo había sido introducido en la versión 2.0.0.1 aparecida el 19 de diciembre de 2006, con el parche mfsa2006-72. Este parche solucionaba la inyección JavaScript en el atributo SRC de un elemento IMG cargado en un frame. Al parecer, con la aplicación del parche, no sólo no se solucionaba el problema sino que además se permitía la ejecución de código arbitrario. Por si fuese poco, el tener JavaScript desactivado no evitaba la vulnerabilidad.

      Thunderbird no se ve afectado por este problema.

      Este incidente recuerda al sufrido por Internet Explorer en agosto de 2006 con su fatídico boletín MS06-042. Lo que en principio se consideró un "efecto colateral" de la aplicación de parche, que emitía un error bajo ciertas circunstancias, se convirtió en una vulnerabilidad crítica que permitía la ejecución de código. Si bien con Internet Explorer se introdujo una vulnerabilidad completamente nueva a través de un parche, con Firefox no ha solucionado por completo el fallo (situación más habitual de lo que se piensa), sino que lo ha empeorado considerablemente.

      El hecho de que el boletín aparezca varios días después que el resto, descolgado del grueso de actualizaciones, puede ser interpretado como un intento de pasar de puntillas ante un grave fallo o un simple problema temporal. En cualquier caso, la última versión 2.0.0.2 soluciona el problema, por tanto quien actualizó entonces se supone protegido.

      Con Zalewski empeñado en buscar las cosquillas del navegador, importantes retrasos en las actualizaciones (se tardó más de tres meses en corregir el problema de robo de credenciales almacenadas en el administrador de contraseñas) y parches que empeoran la situación, Firefox vuelve a mostrar cierta debilidad en el campo de la seguridad.

      Como repetíamos en un boletín anterior, por ahora Firefox no está siendo atacado (por mafias informáticas) como el navegador más usado Internet Explorer. ¿Será capaz de demostrar que puede aguantar "dignamente" una eventual embestida en forma de ataques reales que lo tomen como objetivo?


      Más Información:

      Privilege escalation by setting img.src to javascript: URI
      MFSA 2007-09: Privilege escalation by setting img.src to javascript: URI

      Mozilla has patched a critical patch bug
      heise Security - News - Mozilla has patched a critical patch bug

      La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas
      La nueva versión de Mozilla Firefox no corrige todas las vulnerabilidades conocidas - Hispasec - Una al día 26/02/2007


      Fuente
      Última edición por kontainer fecha: 15/03/07 a las 01:43:02

    2. #2
      Usuario Avatar de "El Dutche"
      Registrado
      dic 2006
      Ubicación
      Buenos Aires, Argentina
      Mensajes
      1.494

      Re: Un parche de Firefox publicado en diciembre empeora una vulnerabilidad

      Bueno amigo Kontainer, como siempre me tienes acostumbrado, con tus malas noticias del Firefox ya pronto me mandarás al otro lado. Sigue así q pronto lo lograrás....

      PD: Igual te mando un saludo y como siempre, muy buen trabajo.

    3. #3
      Usuario Avatar de kontainer
      Registrado
      jul 2005
      Ubicación
      V
      Mensajes
      1.374

      Bien Re: Un parche de Firefox publicado en diciembre empeora una vulnerabilidad

      No tengo la culpa bro, y no puse la noticia anteriormente por la inaccesibilidad al foro
      • gracias y saludos.....disculpa lo malo

    4. #4
      Usuario Avatar de "El Dutche"
      Registrado
      dic 2006
      Ubicación
      Buenos Aires, Argentina
      Mensajes
      1.494

      Re: Un parche de Firefox publicado en diciembre empeora una vulnerabilidad

      Jajajaja, igual te aprecio amigo, pongas la nota q pongas aquí.