Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos


El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código.





Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código.

El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene.

Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.

Más información:

Exploitable crash in xMozillaXSLTProcessor::TransformToDoc
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published
http://www.pcworld.com/article/161988/

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

CURSO BASICO DE PHP EN CARACAS
PHP de VENEZUELA informa de su próximo ciclo de cursos de capacitación en este poderoso Lenguaje de programación web....
Facebook + WOT : excelente!
Al fin Facebook ha tomado una decisión seria con respecto a la seguridad de enlaces, al aliarse con Web of Trust (WOT). Como hemos indicado en muchas oportunidades el plugin de WOT es una de las mejoras alternativas para avisar si un sitio es recome...
Los efectos de la basura
A mi ordenador le ha entrado basura ¿Y a quién no? – diréis vosotros. Lo que pasa es que a cada quisque, o a cada cosa, la basura le entra de forma diferente, de tipo variopinto y por distintas rendijas, orificios o vericuetos. A mi ordenador, p...
Nuevo peligro del mundo online: Las geoetiquetas
Cada vez más gente saca fotos con sus celulares o cámaras con GPS y las sube con una etiqueta que muestra dónde se obtuvo la imagen. Los especialistas en seguridad advierten del riesgo de este nuevo hábito. Cómo desactivar la opción en el iPhon...
Hackean dos webs de Kaspersky
La conocida compañía de antivirus Kaspersky ha sido objeto del hackeo mediante un exploit mediante inyección de código SQL. Dicha vulnerabilidad acababa dejando al descubierto las bases de datos, que incluían datos personales y claves de usuario...
MS-Internet Explorer 7 y Firefox propensos a ataques en autenticación
Firefox e Internet Explorer son propensos a un ataque del tipo Http Request Splitting, cuando ocurre una autenticación codificada (Digest Authentication). Esto es debido a una Digest Authentication Request Splitting, o división de respu...
Gusanos retro
Advierten de un gusano que se extiende como lo hacía la generación de los años ’90, tiempos antiguos cuando se trata del sector TIC....
eMule mal configurado permitió filtración de datos
Wikileaks en el Ministerio de Defensa español. Detectadas fugas de información: incluyen lista, dirección y coches de los ‘espías militares’. La filtración se produjo por eMule....
Ahora el peligro viene de las memorias USB
Según un estudio titulado Encuesta sobre violaciones en la seguridad de la información”, los smartphones, los reproductores de audio y las memorias portátiles con conexión USB constituyen un riesgo para las políticas de seguridad de las empre...
Blackberry tendrá nuevo software para Mac
Rim, la empresa responsable de Blackberry, ha anunciado el lanzamiento el próximo 2 de octubre de la nueva versión del software BlackBerry Desktop Manager para Mac. Con este programa, los usuarios del teléfono móvil pueden acceder a servicios mul...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • day
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • operativos
  • pgp
  • php
  • sabayon
  • seguridad
  • sistemas
  • system
  • tecnologia
  • thunar
  • thunderbird
  • todos
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra