0 day en Mozilla Firefox


Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses.





Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la
conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que
puede permitir a un atacante remoto ejecutar código arbitrario en el
contexto del usuario que ejecutase la aplicación, independientemente
del sistema operativo sobre el que se asiente. Parece que no se han
publicado (al menos en línea) más detalles técnicos sobre el problema,
pero la revelación de los descubridores ha llamado la atención de los
medios. En cualquier caso, se debe ser cauto, y todavía desde algunos
foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha
protagonizado muchas de las vulnerabilidades del navegador hasta la
fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su
implementación en Firefox de "un completo desorden" y afirman conocer al
menos 30 fallos más que pueden permitir vulnerar al navegador a través
de desbordamientos de pila y JavaScript. "Es imposible de parchear",
afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo
demasiada gracia la revelación de la vulnerabilidad en público en una
conferencia, sin que previamente se hubiesen puesto en contacto con el
equipo de programación. Adelantó que están investigando el fallo, y que
si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que
"Internet Explorer, como todo el mundo sabe, no es muy seguro, pero
Firefox también es bastante inseguro", avivando así una estéril
discusión entre navegadores, ya bastante gastada tras, por ejemplo, el
último informe de Symantec. En él, publicado a finales de septiembre,
Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde
enero a junio de 2006. Del informe se desprendía que Internet Explorer
era el navegador más atacado, pero que Mozilla Firefox sufría más
vulnerabilidades. También, que Internet Explorer era el que mantenía a
sus usuarios desprotegidos durante más tiempo. Este informe hizo que
(como ocurre cada cierto tiempo) se volviese a discutir lo relativo de
las cifras absolutas, y se condenasen los métodos de actualizaciones de
Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio
de Hispasec, se viene observando desde hace tiempo cómo los troyanos
tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar
su nombre en el código del malware destinado al robo de credenciales,
si bien no se suelen utilizar sus vulnerabilidades como medio de
infección... pero esto puede cambiar con el tiempo y su creciente
popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no
garantiza un mayor grado de seguridad que si se utiliza Internet
Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una
falsa sensación de seguridad y por ello se dejan de tomar las medidas
de seguridad adecuadas que resultan imprescindibles para usar de forma
responsable cualquier programa. Esto debe ir más allá de su (subjetiva
y etérea) fama de seguro o inseguro.

Más información:

Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20282/discuss

0day vulnerabilities in Firefox, with source
http://blogs.securiteam.com/index.php/archives/657

Hackers claim zero-day flaw in Firefox
http://news.zdnet.com/2100-1009-6121608.html

Some Sobering Security Stats
http://blog.washingtonpost.com/securityfix/ISTR%2010%20Trends%20and%20Future%20Watch.pdf

Fuente:
Sergio de los Santos
hispasec.com



Otras noticias de interés:

Datos filtrados a redes P2P
La fuga inadvertida de información confidencial en ambientes corporativos, está aumentando peligrosamente debido al intercambio de archivos. ...
Mozilla cierra agujero de seguridad que podría exponer datos de webs seguras
Páginas de banca online y de información personal podrían haber sido visibles para cualquiera que haya tenido acceso al software a través de la memoria caché, aunque según Firefox el fallo ya está solucionado los expertos en seguridad recomien...
Firefox 2.0.0.8 corrige importantes vulnerabilidades
Mozilla ha liberado Firefox 2.0.0.8 que corrige importantes vulnerabilidades. Los problemas afectan a Firefox 2.0.0.7 y anteriores. Mozilla Thunderbird, SeaMonkey y Camino también son afectados, y se anuncia la publicación de nuevas version...
Actualización para vulnerabilidades en TCP/IP de Windows
Dentro del conjunto de boletines de seguridad de febrero publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-009) de una actualización crítica destinada a corregir cuatro vulnerabilidade...
Proyecto #Tor: anonimato en Internet
Con un titulo algo extraño la bbc.co.uk publicó un articulo de nombre El rincón en internet donde el anonimato está garantizado. En él hablan de este interesante proyecto....
HP (Hewlett-Packard) también piensa en GNU/Linux
Un reciente artículo en CRN subraya el interés de HP en Linux, y parece que este grande de la informática está planteándose seriamente tomarse en cuenta las mismas sugerencias de los usuarios de Dell....
Facebook + WOT : excelente!
Al fin Facebook ha tomado una decisión seria con respecto a la seguridad de enlaces, al aliarse con Web of Trust (WOT). Como hemos indicado en muchas oportunidades el plugin de WOT es una de las mejoras alternativas para avisar si un sitio es recome...
Múltiples vulnerabilidades en Adobe Flash Player 8.x y 9.x
Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable. ...
Importancia de la gestión de incidentes para la seguridad de la información
La gestión de los incidentes de seguridad es un aspecto muy importante para lograr el mejoramiento continuo de la seguridad de la información de cualquier compañía, el principal inconveniente es que muchas organizaciones no lo utilizan adecuadame...
Seguridad en Software libre: Asunto de Estado
Un nuevo proyecto en los Estados Unidos considera que la seguridad de Linux y el software libre en general es importante para el país por lo que han destinado más de un millón de dólares para descubrir y reportar posibles fallas de seguridad...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • day
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra