Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
  

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Firefox 2.0.0.7 protege contra ataque vía QuickTime
 
VSantivirus No 2549 Año 11, miércoles 19 de setiembre de 2007

 Firefox 2.0.0.7 protege contra ataque vía QuickTime
http://www.vsantivirus.com/firefox-160907.htm

Por Angela Ruiz
angela@videosoft.net.uy

Mozilla publicó la versión 2.0.0.7 de Firefox, la cuál protege al usuario contra la vulnerabilidad que permite la ejecución de código malicioso a través de Firefox utilizando el plugin para QuickTime.

QuickTime permite la reproducción de videos y otros archivos multimedia. Entre sus características, se encuentra la utilización de formatos de metadata (pequeños archivos que hacen referencia al verdadero archivo multimedia), para lograr acciones como la reproducción automática.

Una vulnerabilidad en la implementación de este formato, permite utilizar Firefox para la ejecución arbitraria de código. Un atacante que explote esto con éxito, podría llegar a tomar el control total del sistema.

La vulnerabilidad que permite esto en QuickTime, está descripta en CVE-2006-4965, y ya tiene una corrección de parte de Apple (en QuickTime 7.1.5). Sin embargo dicha actualización no previene el problema con Firefox.

Firefox 2.0.0.5 intentaba impedir este tipo de ataque, pero debido a la forma en que QuickTime utiliza el navegador, dicha protección podía ser eludida.

La actualización a Firefox 2.0.0.7 soluciona el problema, previniendo eventualmente esta clase de ataque.


Última versión NO vulnerable:

- Firefox 2.0.0.7


Descarga de Firefox 2.0.0.7 en español:

http://www.mozilla-europe.org/es/products/firefox/


Referencias:

MFSA 2007-28 Code execution via QuickTime Media-link files
http://www.mozilla.org/security/announce/2007/mfsa2007-28.html

MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
http://www.mozilla.org/security/announce/2007/mfsa2007-23.html


Referencias CVE:

www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4965


Relacionados:

Ejecución de código vía Firefox y QuickTime plugin
http://www.vsantivirus.com/vul-quicktime-firefox-120907.htm


Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS