Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Firefox 2.0.0.10 corrige tres vulnerabilidades
 
VSantivirus No 2588 Año 11, martes 27 de noviembre de 2007

Firefox 2.0.0.10 corrige tres vulnerabilidades
http://www.vsantivirus.com/firefox-261107.htm

Por Angela Ruiz
angela@videosoft.net.uy

Se ha publicado una nueva versión de Firefox, que corrige al menos tres vulnerabilidades, todas ellas clasificadas con un nivel de impacto "Alto". Mozilla utiliza esta clasificación (intermedia entre "Crítico" y "Moderado"), para aquellas vulnerabilidades que pueden ser explotadas para interactuar con el usuario, obtener información sensible a partir de sitios diferentes a los que el usuario está visitando, o inyectar datos o código en esos lugares.

La primera de esas vulnerabilidades está relacionada con el manejo de los datos obtenidos utilizando el protocolo JAR, lo que puede permitir a un atacante ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Tal como publicábamos hace un par de semanas (ver en "Relacionados"), existe una prueba de concepto que demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

La segunda vulnerabilidad cubre tres errores de corrupción de memoria en el programa, lo que puede ocasionar que el mismo deje de responder. Aunque podría ser posible la ejecución de código, ello no ha sido demostrado.

Finalmente, la tercera vulnerabilidad corregida, permite la falsificación de la información entregada por la cabecera HTTP-REFERER, o sea la página o servidor desde donde viene la petición del navegador (por ejemplo, el enlace usado para llegar allí). Esto podría ser utilizado en ataques de falsificación o phishing.

Se recomienda la actualización inmediata a la última versión.


Última versión NO vulnerable:

- Firefox 2.0.0.10


Descarga de Firefox 2.0.0.10 en español:

http://www.mozilla-europe.org/es/products/firefox/


Referencias:

jar: URI scheme XSS hazard
http://www.mozilla.org/security/announce/2007/mfsa2007-37.html

Memory corruption vulnerabilities (rv:1.8.1.10)
http://www.mozilla.org/security/announce/2007/mfsa2007-38.html

Referer-spoofing via window.location race condition
http://www.mozilla.org/security/announce/2007/mfsa2007-39.html


Referencias CVE:

http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960


Relacionados:

Vulnerabilidad en JAR: en navegadores de Mozilla
http://www.vsantivirus.com/vul-mozilla-jar-071107.htm

Denegación de servicio en Firefox 2.0.0.9
http://www.vsantivirus.com/vul-firefox-dos-021107.htm


Más información:

Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
www.mozilla.org/security/








(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2007 Video Soft BBS