|
|
|||||||
| Registrarse | Preguntas Frecuentes | Top Posters | Lista de Miembros | Calendario | Marcar Foros Como Leídos | vBExperience |
 |
|
|
LinkBack | Herramientas | Desplegado |
17/07/08, 09:16:00
|
#1 (permalink) | ||||||
|
Super Moderador@s
Fecha de Ingreso: sep 2007
Ubicación: En algún lugar de las Islas Afortunadas
Mensajes: 1.773
Agradecimientos: 43
Agradecido 73 Veces en 63 Posts
|
Dos actualizaciones críticas para Firefox 2.x y 3.x
Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy Dos actualizaciones críticas han sido anunciadas por Mozilla para Firefox 2.x y el nuevo 3.x, así como para otros productos. Sin embargo, no están disponibles para todos ellos a pesar del anuncio. Una tercera actualización es solo para usuarios de Mac OS, y únicamente afecta a Firefox 3.0. Uno de los avisos de seguridad, alude a un error detectado a través del Zero Day Initiative (ZDI), un emprendimiento de TippingPoint, empresa perteneciente a 3Com, que premia a quienes encuentren vulnerabilidades en programas de uso habitual, siempre que se ceda en exclusiva los detalles de dicha vulnerabilidad. Estos fallos no son hechos públicos hasta que la empresa involucrada los corrige. El problema parece ser un desbordamiento de stack (stack overflow) al manejarse estructuras de hojas de estilo. La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas. Un fallo de este tipo, puede ser utilizado para la ejecución arbitraria de código no deseado. Se dice que el problema ha sido solucionado en Firefox 3.0.1, Firefox 2.0.0.16, Thunderbird 2.0.0.16 y SeaMonkey 1.1.11. El segundo aviso, describe una serie de vulnerabilidades relacionadas con el manejo de los URIs que afectan a Firefox 2 y Firefox 3. URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, página, documento, dirección de correo electrónico, etc.) accesible en una red. Consta de dos partes, el identificador del método de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localización explícita de un recurso (página, imagen, etc.). El problema en este caso, puede permitir a un atacante eludir el control de los archivos chrome utilizados en Firefox y otros productos de Mozilla. Este tipo de archivo contiene todos los componentes de la interfase de usuario que se encuentran fuera del contenido del área de la ventana, es decir barras de herramientas, menús, barras de progreso y títulos de las ventanas, y está creado en XUL, un lenguaje XML creado para facilitar y acelerar el desarrollo del navegador Mozilla. Algunos de estos problemas, están relacionados con la famosa vulnerabilidad de Safari conocida como "Carpet Bombing". Es decir, si un usuario tiene instalado Safari y Firefox en el mismo equipo, ello puede ser utilizado para un ataque. La actualización resuelve el problema en Firefox 2.0.0.16 y 3.0.1. Los detalles de los errores no serán revelados hasta dentro de unos días, para darle a los usuarios la oportunidad de actualizarse. Sin embargo, no son pocos lo que se quejan que algunos de los productos anunciados como no vulnerables, aún no están disponibles. Por ejemplo, al momento de publicar esta alerta, algunos usuarios de Firefox 3.0 no tienen habilitada la opción para actualizarse a la versión 3.0.0.1 de forma automática, y deben hacerlo manualmente. Peor están quienes utilizan Thunderbird, ya que aún no pueden acceder a la versión 2.0.0.16 (de hecho, la última versión es la 2.0.0.14). Últimas versiones NO vulnerables: - Firefox 3.0.1 - Firefox 2.0.0.16 - Thunderbird 2.0.0.16 - SeaMonkey 1.1.11 Descarga de Firefox 2.0.0.16 en español: ftp.osuosl.org :: Oregon State University Open Source Lab Descarga de Firefox 3.0.1 en español: ftp.osuosl.org :: Oregon State University Open Source Lab Referencias: MFSA 2008-36 Crash with malformed GIF file on Mac OS X MFSA 2008-36: Crash with malformed GIF file on Mac OS X MFSA 2008-35 Command-line URLs launch multiple tabs when Firefox not running MFSA 2008-35: Command-line URLs launch multiple tabs when Firefox not running MFSA 2008-34 Remote code execution by overflowing CSS reference counter MFSA 2008-34: Remote code execution by overflowing CSS reference counter Más información: Known Vulnerabilities in Mozilla Products Known Vulnerabilities in Mozilla Products Mozilla.org Security Center Security Center Relacionados: Revelan detalles de una vulnerabilidad no solucionada Revelan detalles de una vulnerabilidad no solucionada Ataque combinado, no solo Safari es culpable Ataque combinado, no solo Safari es culpable (c) Video Soft - Video Soft (c) VSAntivirus - VSAntivirus
__________________
"Comienza tu día con una sonrisa, verás lo divertido que es ir por ahí desentonando con todo el mundo." 
|
||||||
|
    
|
|
| Herramientas | |
| Desplegado | |
|
|
Temas Similares
|
||||
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Firefox 3 para esta tarde | dunanea | Nuevos programas y Aplicaciones | 13 | 06/07/08 18:15:32 |
| Los 9 mejores trucos para aumentar el rendimiento de Firefox sin usar extensiones | dunanea | Nuevos programas y Aplicaciones | 0 | 08/05/08 22:02:02 |
| Instalamos el Service Pack 1 de Windows Vista | dunanea | Noticias Seguridad Informática | 0 | 19/03/08 21:42:56 |
| Cuatro actualizaciones críticas para Office | dunanea | Noticias Seguridad Informática | 0 | 12/03/08 14:04:18 |
| calor y algo de Overclock | el_otro | El Hardware de tu PC | 7 | 17/02/08 17:01:18 |
Mode Lineal
