Firefox 2.0.0.10 corrige tres vulnerabilidades


Se ha publicado una nueva versión de Firefox, que corrige al menos tres vulnerabilidades, todas ellas clasificadas con un nivel de impacto Alto.





Mozilla utiliza esta clasificación (intermedia entre "Crítico" y "Moderado"), para aquellas vulnerabilidades que pueden ser explotadas para interactuar con el usuario, obtener información sensible a partir de sitios diferentes a los que el usuario está visitando, o inyectar datos o código en esos lugares.

La primera de esas vulnerabilidades está relacionada con el manejo de los datos obtenidos utilizando el protocolo JAR, lo que puede permitir a un atacante ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Tal como publicábamos hace un par de semanas (ver en"Relacionados"), existe una prueba de concepto que demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

La segunda vulnerabilidad cubre tres errores de corrupción de memoria en el programa, lo que puede ocasionar que el mismo deje de responder. Aunque podría ser posible la ejecución de código, ello no ha sido demostrado.

Finalmente, la tercera vulnerabilidad corregida, permite la falsificación de la información entregada por la cabecera HTTP-REFERER, o sea la página o servidor desde donde viene la petición del navegador (por ejemplo, el enlace usado para llegar allí). Esto podría ser utilizado en ataques de falsificación o phishing.

Se recomienda la actualización inmediata a la última versión.


* Última versión NO vulnerable:

- Firefox 2.0.0.10


* Descarga de Firefox 2.0.0.10 en español:

http://www.mozilla-europe.org/es/products/firefox/


* Referencias:

jar: URI scheme XSS hazard
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html

Memory corruption vulnerabilities (rv:1.8.1.10)
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html

Referer-spoofing via window.location race condition
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html


* Referencias CVE:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960



* Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/


Fuente:
Por Angela Ruiz
http://www.vsantivirus.com



Otras noticias de interés:

BYOD, trae nuevos retos a la seguridad corporativa
Fortinet presenta los resultados de un estudio llevado a cabo para tratar a fondo el fenómeno del BYOD - Bring Your Own Device (trae tu propio dispositivo) - y sus implicaciones en la seguridad corporativa. Entre las principales conclusiones destaca...
Un EstadoUnidense detenido por atacar la web de Al-Jazeera
Un norteamericano de Los Angeles fue declarado culpable el pasado jueves por llevar a cabo varios ataques a la web de Al Jazeera durante la pasada guerra de Irak. Al parecer, los ataques tuvieron lugar a raíz de que la cadena por satélite árabe mo...
Christian Van Der Henst, recupera maestrosdelweb.com y forosdelweb.com
Nos enteramos gracias a alt1040.com que nuestro Amigo Christian a recuperado sus dominios....
IBM desarrolla tecnología para asistir a la memoria humana
Pensive, combina técnicas de procesamiento de imágenes, información GPS, reconocimiento de caracteres ópticos y de voz, así como recuperación de información. ...
Pronto++, un proyecto de Intel, Phillips y Linux.
Philips e Intel están desarrollando una nueva categoría de dispositivos multimedia digitales apoyándose en el sistema operativo Linux. Royal Philips Electronics e Intel Corporation acaban de anunciar un acuerdo de colaboración para...
Obligaron a un investigador a retirarse de una charla sobre virus
Los encargados de buscar a los criminales que infectaron a millones de computadoras con el famoso virus Conficker están intentando limitar el acceso a la información sobre sus creadores...
Cambios en la FSF y en la GPL
La Fundación para el Software Libre (FSF) está de cambios. Para empezar, han creado un nuevo sitio web, basado en Plone, m...
¿Qué ocurre realmente tras nuestros sitios web?
Las aplicaciones web construidas actualmente integran múltiples tecnologías, lo que implica presumiblemente falta de cohesión en cuanto a la seguridad....
Vulnerabilidad en PHP a través de magic_quotes_gpc
Se ha publicado un fallo en PHP que podría permitir a un atacante remoto eludir el filtrado de las variables de entorno....
El uso de Tor sin cifrado permitió acceder a las contraseñas de las embajadas
Finalmente, y tal como había prometido, Dan Egerstad ha revelado cómo obtuvo centenares (o miles) de contraseñas de correo de empresas, embajadas y otras instituciones....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • corrige
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • tres
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra