Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos
«
»

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

15:00 Marzo 26th, 2009 por arrayexception arrayexception
votar
Seguridad | Sin comentarios »

El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.

Mozilla Firefox

Mozilla Firefox

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código.

El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene.
Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.

Opina sobre esta noticia:

http://www.hispasec.com/unaaldia/3806/comentar

Más información:

Exploitable crash in xMozillaXSLTProcessor::TransformToDoc

https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published http://www.pcworld.com/article/161988/

Sergio de los Santos
Fuente: hispasec.com

votar

Tags: , , , , , , ,

Esta entrada fue posteada el Jueves, Marzo 26th, 2009 a las 3:00 pm y está presentada bajo Seguridad. Puedes seguir todas los comentarios a esta entrada en el RSS 2.0 feed. Puedes dejar un comentario, o coger el trackback hacia tu propio sitio web.

Deja un comentario


logo sigueme twitter

Ult. Proyectos

Ult. Formacion

Sinergia sin control
Actual tira de sinergiasincontrol
(la tira cómica que leen Martín varsavsky, Enrique Dans y Linus Torvalds en el universo paralelo 64832)

Blogroll

Archivo

Lo + visto

android Apple blackberry codigo abierto conferencia Conferencias Cursos desarrolladores euitio EZine facebook firefox glassfish Google google chrome Grails Groovy hackers html5 intel Internet iPad iphone java ley antipirateria Linux microsoft mysql nokia open source p2p PHP podcast programacion redes sociales revista electrónica Seguridad SGAE software libre sun microsystems The Pirate Bay twitter ubuntu windows windows 7

Validaciones

Valid XHTML 1.0 Transitional

¡CSS Válido!

[Valid RSS]