|
|
Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll)
|
| |
VSantivirus No. 2118 Año 10, jueves 27 de abril de 2006
Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll)
http://www.vsantivirus.com/vul-firefox-240406.htm
Por Angela Ruiz
angela@videosoft.net.uy
Una vulnerabilidad del tipo "Zero day" (día cero), o sea hecha publica antes de que el problema haya sido solucionado, afecta al navegador Firefox, incluyendo su última versión 1.5.0.2 publicada hace apenas unos días.
En principio, el problema puede ocasionar el fallo del programa, aunque también podría ser utilizado para la introducción de código malicioso en el sistema afectado.
El agujero fue reportado en Bugzilla la pasada semana (18/04/06), y puede ser utilizado para provocar el fallo del programa mediante el envío de código JavaScript modificado maliciosamente.
La vulnerabilidad estaría provocada por un desbordamiento de búfer que afecta los componentes JS320.DLL y XPCOM_CORE.DLL.
Una prueba de concepto ha sido publicada recientemente en Internet (24/04/06).
Software afectado:
- Mozilla Firefox 1.5.0.2 (todas las plataformas)
Posiblemente versiones anteriores también sean afectadas.
Soluciones:
No se conocen soluciones oficiales al momento de esta alerta. Se recomienda deshabilitar JavaScript.
Sugerencias:
Cómo medida de precaución, el lector noSign nos sugiere la instalacion del plugin o extension NoScript en Firefox:
Extension NoScript:
https://addons.mozilla.org/extensions/moreinfo.php?id=722
Referencias:
Mozilla Firefox Denial of Service PoC
http://www.milw0rm.com/exploits/1716
http://www.securident.com/vuln/ff.txt
Créditos:
Splices
Spiffomatic64
Securident Technologies
[Última modificación:
27/04/06 12:49 -0300]
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|
 
|
|
