Firefox 2.0.0.10 corrige tres vulnerabilidades


Se ha publicado una nueva versión de Firefox, que corrige al menos tres vulnerabilidades, todas ellas clasificadas con un nivel de impacto Alto.





Mozilla utiliza esta clasificación (intermedia entre "Crítico" y "Moderado"), para aquellas vulnerabilidades que pueden ser explotadas para interactuar con el usuario, obtener información sensible a partir de sitios diferentes a los que el usuario está visitando, o inyectar datos o código en esos lugares.

La primera de esas vulnerabilidades está relacionada con el manejo de los datos obtenidos utilizando el protocolo JAR, lo que puede permitir a un atacante ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Tal como publicábamos hace un par de semanas (ver en"Relacionados"), existe una prueba de concepto que demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

La segunda vulnerabilidad cubre tres errores de corrupción de memoria en el programa, lo que puede ocasionar que el mismo deje de responder. Aunque podría ser posible la ejecución de código, ello no ha sido demostrado.

Finalmente, la tercera vulnerabilidad corregida, permite la falsificación de la información entregada por la cabecera HTTP-REFERER, o sea la página o servidor desde donde viene la petición del navegador (por ejemplo, el enlace usado para llegar allí). Esto podría ser utilizado en ataques de falsificación o phishing.

Se recomienda la actualización inmediata a la última versión.


* Última versión NO vulnerable:

- Firefox 2.0.0.10


* Descarga de Firefox 2.0.0.10 en español:

http://www.mozilla-europe.org/es/products/firefox/


* Referencias:

jar: URI scheme XSS hazard
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html

Memory corruption vulnerabilities (rv:1.8.1.10)
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html

Referer-spoofing via window.location race condition
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html


* Referencias CVE:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960



* Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/


Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

Nueva Edición TuxInfo #27
Está disponible para su descarga. el número 27 de la revista en formato digital Tuxinfo....
Microsoft acaba con una red de bots
Microsoft anunció que ha desarticulado la botnet Kelihos y que ha cerrado los subdominios cz.cc....
Ataque masivo a miles de sitios webs
Se ha encontrado gran cantidad de sitios conocidos y confiables (incluso mucho de ellos educativos, gubernamentales y de la lista Fortune 500) que apuntan a scripts hosteados en sitios chinos y que permiten la descarga de archivos ejecutables dañino...
HTML5 y el browser sniffing
En el blog de Juan Lupión podemos leer una interesante nota referente a los problemas y/o politicas que estan usando algunas empresas como es el caso de Apple a la hora del uso del HTML5. Supuestamente HTML5 ofrecería: Compatibilidad entre navegado...
Aparecen nuevos ataques DoS que utilizan servidores web como zombies
Los servidores web eran utilizados por este tipo de ataques hace una década, pero fueron sustituidos por los computadores personales, cada vez más ubicuos....
Píratas Informáticos invaden Twitter
Hay ciertos datos sobre las redes sociales que raras veces salen a la luz pública. Quizás porque no interesa, quizás porque perjudica la imagen de marca, lo cierto es que las redes sociales en especial Twitter han sufrido en innumerables ocasiones...
Proyecto para rediseñar Internet
Internet resulta tan fascinante para la mayoría de la gente que la usa, que a casi nadie se le ocurriría hacerse esta pregunta: ¿Es realmente como la habríamos construido si pudiésemos diseñarla hoy de arriba a abajo, desde sus cimientos? ...
La gestión del dominio .com podría cambiar en 15 días.
La organización encargada de supervisar Internet, ICANN, ha amenazado a VeriSign con quitarle en un plazo de 15 días la gestión del dominio .com....
Adobe soluciona 6 vulnerabilidades en Shockwave Player
Adobe Systems ha publicado un nuevo boletín de seguridad (APSB12-23) que soluciona seis vulnerabilidades críticas en Shockwave Player....
Aumento de spam, phishing y gusanos en esta Navidad
Con la llegada de las fiestas de Navidad y Año Nuevo, se espera una avalancha de correo no deseado, lo que provocará no solo saturación de casillas de correo y demora en el tráfico de mensajes, sino que también aumentará el riesgo de ataques ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • tres
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra