|
|
Mozilla eleva nivel de alerta para fallo en Firefox
|
| |
VSantivirus No 2627 Año 11, miércoles 30 de enero de 2008
Mozilla eleva nivel de alerta para fallo en Firefox
http://www.vsantivirus.com/30-01-07.htm
Por Angela Ruiz
angela@videosoft.net.uy
De acuerdo al blog de seguridad de Mozilla, la vulnerabilidad reportada hace unos días en Firefox (ver ), sería de gravedad alta.
Un atacante podría valerse de este agujero, para obtener información del equipo atacado, incluyendo las cookies y el historial del usuario actual.
Sin embargo, Firefox no es vulnerable por defecto. Solo están en riesgo los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas "flat"), en lugar de archivos .JAR.
Una lista parcial de estas extensiones puede verse en el siguiente enlace:
https://bugzilla.mozilla.org/attachment.cgi?id=300181
Mozilla recomienda a los autores de estas extensiones realizar una actualización de las mismas, en un paquete .JAR.
Cómo anunciábamos hace unos días, el problema se produce por un error de filtrado en los caracteres utilizados para ciertos parámetros al manejarse el protocolo CHROME.
Este protocolo utiliza archivos escritos en XUL, un lenguaje XML creado para facilitar el desarrollo del navegador Mozilla.
La vulnerabilidad permite el acceso de un atacante a directores superiores, y a partir de allí, a partes sensibles del sistema.
Mozilla acelera la salida de su Firefox 2.0.0.12 para corregir este problema.
Más información:
Status update for Chrome Protocol Directory Traversal issue
http://tinyurl.com/yuxz5l
Bug 413549 - Grep Addons for packages not using .jar
https://bugzilla.mozilla.org/show_bug.cgi?id=413451
Relacionados:
Vulnerabilidad en protocolo Chrome de Firefox
http://www.vsantivirus.com/vul-firefox-chrome-190108.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
