Buscar
 
 

Resultados por:
 


Rechercher Búsqueda avanzada

Últimos temas
» En casa de Belén, de vacaciones
Dom Abr 03, 2011 2:48 am por Invitado

» CONTINUIDAD
Lun Sep 14, 2009 8:28 pm por alfonso

» Boletín diario de Seguridad de INTECO-CERT
Jue Ago 20, 2009 3:52 pm por son5minutos

» Vulnerabilidad crítica en Flash Player
Dom Jul 26, 2009 2:13 pm por son5minutos

» Adobe conocía su último "0 day" desde 2008
Dom Jul 26, 2009 2:12 pm por son5minutos

» Último Informe del CERT para PYMES y Ciudadanos de Inteco
Dom Jul 26, 2009 2:11 pm por son5minutos

» STILO
Dom Jun 28, 2009 2:45 pm por nenina

» CINE
Dom Jun 28, 2009 2:44 pm por nenina

» VIAJAR
Dom Jun 28, 2009 2:44 pm por nenina

» EMPLEO Y FORMACION
Dom Jun 28, 2009 2:43 pm por nenina

» MOVILES
Dom Jun 28, 2009 2:42 pm por nenina

» VIDEOJUEGOS
Dom Jun 28, 2009 2:41 pm por nenina

» SEGURIDAD
Dom Jun 28, 2009 2:40 pm por nenina

» EMPRENDE
Dom Jun 28, 2009 2:40 pm por nenina

» NOTICIASDOT PRO
Dom Jun 28, 2009 2:39 pm por nenina

» SOFTWARE LIBRE
Dom Jun 28, 2009 2:39 pm por nenina

» GADGETMANIA
Dom Jun 28, 2009 2:37 pm por nenina

» WEB 2.0
Dom Jun 28, 2009 2:37 pm por nenina

» MUNDO DIGITAL
Dom Jun 28, 2009 2:36 pm por nenina

» Averigua quién está conectado a tu ordenador
Dom Jun 21, 2009 12:11 pm por Gaillimh

Flujo RSS


Yahoo! 
MSN 
AOL 
Netvibes 
Bloglines 


Bookmarking social

Bookmarking social Digg  Bookmarking social Delicious  Bookmarking social Reddit  Bookmarking social Stumbleupon  Bookmarking social Slashdot  Bookmarking social Yahoo  Bookmarking social Google  Bookmarking social Blinklist  Bookmarking social Blogmarks  Bookmarking social Technorati  

Conserva y comparte la dirección de Foro en tu sitio de bookmarking social


Conseguido récord Guinness con 8,002,530 millones de descargas de Firefox

Ver el tema anterior Ver el tema siguiente Ir abajo

Conseguido récord Guinness con 8,002,530 millones de descargas de Firefox

Mensaje por Gaillimh el Vie Mayo 30, 2008 12:53 pm



Simplemente, nos hemos afiliado al Record Guiness para que el número de descargas de Firefox 3 sea el mayor de la historia del software en 24 horas. El banner de arriba es uno de los del programa, abajo os dejo otro:



Os recomiendo que visiteis la página, para afiliaros individualmente, en http://www.spreadfirefox.com/node&id=225953&t=282

Saludos,
Jordi
----- NOTA a 3 de Julio 2008:

Download Day 2008
¡Lo hemos conseguido!

Hemos conseguido un Récord Guinnes por el software más descargado en 24 horas. Con tu ayuda hemos llegado a 8,002,530 millones de descargas.

¡Ahora eres parte de un récord mundial y el orgulloso poseedor de la mejor versión de la historia de Firefox!


Última edición por Gaillimh el Jue Jul 03, 2008 8:57 pm, editado 2 veces

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Conseguido récord Guinness con 8,002,530 millones de descargas de Firefox

Mensaje por Gaillimh el Dom Jun 15, 2008 2:53 pm

El día escogido, finalmente, es el MARTES 17 de Junio, o sea pasado mañana. Cool

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Vulnerabilidad crítica en Firefox 3.0

Mensaje por Gaillimh el Vie Jun 20, 2008 11:07 am

VSantivirus No 2743 Año 11, viernes 20 de junio de 2008
_____________________________________________________________

Vulnerabilidad crítica en Firefox 3.0
_____________________________________________________________

http://www.vsantivirus.com/20-06-08.htm

Vulnerabilidad crítica en Firefox 3.0

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Según DVLabs, al nuevo Firefox 3.0 ya se le ha detectado una
vulnerabilidad crítica. De acuerdo a los investigadores, el
problema también afecta a las versiones anteriores del
navegador (2.x). El hecho fue revelado apenas 5 horas después
que Firefox 3.0 fue liberado.

Disponible desde el pasado martes 17, la nueva y publicitada
versión del navegador de código libre, produjo un verdadero
record de descargas en tan solo las primeras horas.

La vulnerabilidad, cuyos detalles no se han hecho públicos,
fue verificada por los laboratorios de DVLabs, e informada a
Mozilla.

La explotación exitosa de este fallo, podría permitir a un
atacante ejecutar código de forma arbitraria, cuando el
usuario hace clic en un enlace malicioso, tanto en una página
Web, como en un correo electrónico, en este último caso
siempre que Firefox sea el navegador predeterminado.

Según DVLabs, Mozilla está trabajando en una solución, y por
lo tanto no se divulgarán más detalles del problema hasta que
el mismo sea solucionado.

Algunos investigadores afirman que en este caso, la
utilización de NoScript, no ayuda a prevenir la explotación
de esta vulnerabilidad.

NoScript es un complemento para Firefox, que sólo permite
JavaScript, Java y otros plugins en los sitios web de
confianza elegidos por el usuario.


* Más información:

Mozilla Firefox 3.0 Vulnerability
http://tinyurl.com/6o2stj

New Security Issue Under Investigation
http://tinyurl.com/52fc37

Firefox 3 Untimely Security Advisory
http://tinyurl.com/3pj7e8


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Primera vulnerabilidad crítica en Firefox 3

Mensaje por Gaillimh el Sáb Jun 21, 2008 10:31 am

Hispasec - una-al-día 20/06/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Primera vulnerabilidad crítica en Firefox 3
-------------------------------------------

Pocas horas después de su lanzamiento se ha dado a conocer que el
navegador que pretendía batir todos récords de descarga, Mozilla Firefox
3, contiene una vulnerabilidad crítica que podría ser aprovechada por un
atacante remoto para ejecutar código arbitrario.

Después de que el navegador de código abierto haya tenido más de 8,3
millones de descargas durante las primeras 24 horas desde su
lanzamiento, en parte gracias a una interesante campaña de márketing,
ahora se descubre que contiene al menos un fallo, que podría permitir
la ejecución de código con sólo visitar un enlace que nos lleve a una
página web especialmente manipulada.

Zero Day Initiative (ZDI) publicó el descubrimiento de dicho agujero de
seguridad tan solo 5 horas después de que Firefox 3 fuera lanzado de
forma oficial, a las 19 horas del pasado día 17 en España (aunque es
bastante más que probable que tuvieran conocimiento del fallo desde la
aparición de las primeras betas, pero hayan esperado al lanzamiento
oficial para hacerlo público). Los investigadores de ZDI han confirmado
que la vulnerabilidad podría permitir la ejecución de código arbitrario
de forma remota con los permisos del usuario ejecutando la aplicación,
aunque no parece que el fallo esté siendo explotado en la actualidad.

En todo software relativamente nuevo las posibilidades de que se
descubran vulnerabilidades graves se multiplican al lanzar una nueva
versión con importantes modificaciones. Este problema no es patrimonio
exclusivo ni de compañías específicas ni depende de la filosofía del
software (sea código abierto, cerrado, o cualquier otra manera de
entender la forma de distribución).

Zero Day Initiative está organizado por TippingPoint (filial de 3com) y
premia el descubrimiento de nuevas vulnerabilidades si se le ceden en
exclusiva los detalles de cómo aprovecharla. Afirma haber informado a
los desarrolladores de Mozilla y siguiendo su política de "Responsible
Disclosure", ha rehusado publicar detalles técnicos al respecto hasta
que no se haga público un parche que corrija el fallo. Todo hace indicar
que la versión 3.0.1 podría estar disponible muy pronto.

Adicionalmente, otros dos investigadores dicen haber descubierto más
problemas de seguridad en la nueva versión del navegador. El primero se
trataría de error de límites no especificado y que podría causar una
denegación de servicio o permitir la ejecución de código. El segundo, un
fallo que podría provocar que Firefox 3 ejecutase ciertas aplicaciones
sin permiso del usuario. Éstas supuestas vulnerabilidades no han sido
confirmadas por el momento y provienen de listas de correo
especializadas en seguridad.

Una vez más se recomienda no visitar enlaces poco fiables y vigilar
especialmente aquellos que provengan de correos o a través de mensajería
instantánea.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3527/comentar

Más información

Mozilla Firefox 3.0 Vulnerability
http://dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firefox-30

Mozilla Firefox 3 Unspecified Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/29794/info

Flaw in Firefox 3.0: protocol-handler.warn-external are ignored
http://seclists.org/fulldisclosure/2008/Jun/0228.html

Mozilla Firefox 3.0
http://www.mozilla-europe.org/es/firefox/


Pablo Molina
pmolina@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Firefox 2.0.0.15 corrige 12 vulnerabilidades

Mensaje por Gaillimh el Jue Jul 03, 2008 8:48 pm

VSantivirus No 2753 Año 11, jueves 3 de julio de 2008
_____________________________________________________________

Firefox 2.0.0.15 corrige 12 vulnerabilidades
_____________________________________________________________

http://www.vsantivirus.com/firefox-2-0-0-15.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Las versiones de Firefox 2.0.0.14 y anteriores, contienen una
vulnerabilidad que puede permitir a un atacante la ejecución
de código. Los usuarios que utilicen las versiones 2.0 de
este navegador, deberán actualizarse a la brevedad posible a
la versión 2.0.0.15, si no lo han hecho de forma automática.

El problema es un desbordamiento de búfer, y además de
Firefox son afectados SeaMonkey y Epiphany, ya que utilizan
el mismo componente afectado. Un ataque exitoso puede llegar
a comprometer los sistemas donde estos programas se estén
ejecutando. Esta vulnerabilidad no afecta a Firefox 3.

Pero además, Firefox 2.0.0.15 corrige al menos otras 11
vulnerabilidades, las cuáles pueden provocar desde fallos del
programa, hasta la posibilidad de ejecución de código.
Algunos fallos pueden ser aprovechados para otra clase de
ataques, por ejemplo phishing.

La solución es actualizarse a la versión 2.0.0.15. La versión
3.0, como dijimos, no es vulnerable al problema más grave de
los indicados, ni a otras de las vulnerabilidades
mencionadas. Sin embargo, algunas de ellas si lo afectan,
pero la mayoría son mitigadas por el nuevo modelo de
seguridad aplicado (ventanas de confirmación, etc.).

Firefox 2.0.0.15 está disponible para descarga manual, o a
través de la actualización automática.


* Última versión NO vulnerable:

- Firefox 2.0.0.15


* Descarga de Firefox 2.0.0.15 en español:

http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.15/win32/es-ES/


* Referencias:

MFSA 2008-33 Crash and remote code execution in block reflow
http://www.mozilla.org/security/announce/2008/mfsa2008-33.html

MFSA 2008-32 Remote site run as local file via Windows URL shortcut
http://www.mozilla.org/security/announce/2008/mfsa2008-32.html

MFSA 2008-31 Peer-trusted certs can use alt names to spoof
http://www.mozilla.org/security/announce/2008/mfsa2008-31.html

MFSA 2008-30 File location URL in directory listings not escaped properly
http://www.mozilla.org/security/announce/2008/mfsa2008-30.html

MFSA 2008-29 Faulty .properties file results in uninitialized memory being used
http://www.mozilla.org/security/announce/2008/mfsa2008-29.html

MFSA 2008-28 Arbitrary socket connections with Java LiveConnect on Mac OS X
http://www.mozilla.org/security/announce/2008/mfsa2008-28.html

MFSA 2008-27 Arbitrary file upload via originalTarget and DOM Range
http://www.mozilla.org/security/announce/2008/mfsa2008-27.html

MFSA 2008-25 Arbitrary code execution in mozIJSSubScriptLoader.loadSubScript()
http://www.mozilla.org/security/announce/2008/mfsa2008-25.html

MFSA 2008-24 Chrome script loading from fastload file
http://www.mozilla.org/security/announce/2008/mfsa2008-24.html

MFSA 2008-23 Signed JAR tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-23.html

MFSA 2008-22 XSS through JavaScript same-origin violation
http://www.mozilla.org/security/announce/2008/mfsa2008-22.html

MFSA 2008-21 Crashes with evidence of memory corruption (rv:1.8.1.15)
http://www.mozilla.org/security/announce/2008/mfsa2008-21.html


* Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-
vulnerabilities.html

Mozilla.org Security Center
http://www.mozilla.org/security/


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Actualización de seguridad para Firefox 2 corrige 12 vulnerabilidades

Mensaje por Gaillimh el Miér Jul 09, 2008 1:53 pm

Actualización de seguridad para Firefox 2 corrige 12 vulnerabilidades
---------------------------------------------------------------------

La Fundación Mozilla ha publicado una actualización (2.0.0.15) para su
navegador que soluciona 12 problemas de seguridad. Con solo visitar una
página maliciosa, un atacante podría provocar una denegación de
servicio, robar información sensible, corromper la base de datos de
contraseñas o ejecutar código arbitrario en un sistema vulnerable.

A pesar de que la versión 3 de Firefox está disponible desde el pasado
día 17 de junio, Mozilla seguirá dando soporte para la versión 2 hasta
mediados de diciembre. La rama 2 es usada ampliamente todavía, en gran
parte porque existen muchos complementos que aún no son compatibles con
la versión más reciente.

De las 12 vulnerabilidades que soluciona la versión 2.0.0.15 de Firefox,
cuatro de ellas están consideradas como de impacto crítico, otras cuatro
de peligrosidad alta, dos de riesgo moderado y otras dos de riesgo bajo.
Recordamos que la totalidad de estos problemas se reproducen también en
Seamonkey y algunos de ellos podrían darse también en Thunderbird,
puesto que comparten gran parte del código fuente.

Un breve resumen de los problemas oficiales corregidos en esta nueva
versión son:

* Existen múltiples fallos a procesar contenido JavaScript mal formado.
Esto podría ser aprovechado por un atacante remoto para causar una
denegación de servicio o ejecutar código arbitrario si un usuario visita
una página web especialmente manipulada.

* Diversos problemas al procesar contenido web mal formado. Un atacante
remoto podría causar una denegación de servicio o ejecutar código
arbitrario si un usuario visita una página web maliciosa.

* También se han encontrado múltiples errores a la hora de mostrar
contenido web mal formado. Éstas vulnerabilidades podrían ser
aprovechadas por un atacante remoto para engañar a un usuario para que
introdujese datos sensibles en una página web especialmente creada.

* Se han localizado otras dos vulnerabilidades que podrían permitir la
revelación de información sensible en Firefox. Una página web maliciosa
podría hacer que se revelara el contenido de archivos locales a un
atacante remoto.

* Existen un fallo al procesar archivos de propiedades mal formados, lo
que podría causar una fuga de memoria.

* Se ha encontrado un fallo en la forma en la que Firefox escapa los
listados de archivos locales. Sería posible la ejecución de JavaScript
arbitrario si un usuario listase un directorio local que contenga
nombres de archivos especialmente modificados.

* Y por último, existe otro fallo en la forma en la que Firefox muestra
la información sobre los certificados autofirmados. Dichos certificados
podrían contener múltiples entradas de nombres alternativos que no
serían mostrados, lo que podría provocar que un usuario considerara como
confiable un sitio desconocido.

Se recomienda la inmediata actualización del navegador a la versión
2.0.0.15 o a la versión 3.0 y también la actualización de SeaMonkey a la
versión 1.1.10, disponibles desde:
http://www.mozilla.com/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3542/comentar

Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Vulnerability Note VU#607267: Mozilla Firefox code execution vulnerability
http://www.kb.cert.org/vuls/id/607267

20/06/2008 Primera vulnerabilidad crítica en Firefox 3
http://www.hispasec.com/unaaldia/3527


Pablo Molina
pmolina@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Dos actualizaciones críticas para Firefox 2.x y 3.x

Mensaje por Gaillimh el Jue Jul 17, 2008 1:52 pm

VSantivirus No 2763 Año 11, jueves 17 de julio de 2008
_____________________________________________________________

Dos actualizaciones críticas para Firefox 2.x y 3.x
_____________________________________________________________

http://www.vsantivirus.com/firefox-20016-301.htm

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Dos actualizaciones críticas han sido anunciadas por Mozilla
para Firefox 2.x y el nuevo 3.x, así como para otros
productos. Sin embargo, no están disponibles para todos ellos
a pesar del anuncio. Una tercera actualización es solo para
usuarios de Mac OS, y únicamente afecta a Firefox 3.0.

Uno de los avisos de seguridad, alude a un error detectado a
través del Zero Day Initiative (ZDI), un emprendimiento de
TippingPoint, empresa perteneciente a 3Com, que premia a
quienes encuentren vulnerabilidades en programas de uso
habitual, siempre que se ceda en exclusiva los detalles de
dicha vulnerabilidad. Estos fallos no son hechos públicos
hasta que la empresa involucrada los corrige.

El problema parece ser un desbordamiento de stack (stack
overflow) al manejarse estructuras de hojas de estilo. La
pila (stack), es el espacio de memoria reservada para
almacenar las direcciones de retorno en la ejecución de cada
rutina y otra información importante para la ejecución de los
programas. Un fallo de este tipo, puede ser utilizado para la
ejecución arbitraria de código no deseado.

Se dice que el problema ha sido solucionado en Firefox 3.0.1,
Firefox 2.0.0.16, Thunderbird 2.0.0.16 y SeaMonkey 1.1.11.

El segundo aviso, describe una serie de vulnerabilidades
relacionadas con el manejo de los URIs que afectan a Firefox
2 y Firefox 3.

URI (Uniform Resource Identifier o Identificador Universal de
Recursos), es la secuencia de caracteres que identifica
cualquier recurso (servicio, página, documento, dirección de
correo electrónico, etc.) accesible en una red. Consta de dos
partes, el identificador del método de acceso o protocolo
(http:, ftp:, mailto:, etc.), y el nombre del recurso
(//dominio, usuario@dominio, etc.). Un URL (Uniform Resource
Locators), es un URI que muestra la localización explícita de
un recurso (página, imagen, etc.).

El problema en este caso, puede permitir a un atacante eludir
el control de los archivos chrome utilizados en Firefox y
otros productos de Mozilla. Este tipo de archivo contiene
todos los componentes de la interfase de usuario que se
encuentran fuera del contenido del área de la ventana, es
decir barras de herramientas, menús, barras de progreso y
títulos de las ventanas, y está creado en XUL, un lenguaje
XML creado para facilitar y acelerar el desarrollo del
navegador Mozilla.

Algunos de estos problemas, están relacionados con la famosa
vulnerabilidad de Safari conocida como "Carpet Bombing". Es
decir, si un usuario tiene instalado Safari y Firefox en el
mismo equipo, ello puede ser utilizado para un ataque.

La actualización resuelve el problema en Firefox 2.0.0.16 y
3.0.1.

Los detalles de los errores no serán revelados hasta dentro
de unos días, para darle a los usuarios la oportunidad de
actualizarse. Sin embargo, no son pocos lo que se quejan que
algunos de los productos anunciados como no vulnerables, aún
no están disponibles. Por ejemplo, al momento de publicar
esta alerta, algunos usuarios de Firefox 3.0 no tienen
habilitada la opción para actualizarse a la versión 3.0.0.1
de forma automática, y deben hacerlo manualmente.

Peor están quienes utilizan Thunderbird, ya que aún no pueden
acceder a la versión 2.0.0.16 (de hecho, la última versión es
la 2.0.0.14).


* Últimas versiones NO vulnerables:

- Firefox 3.0.1
- Firefox 2.0.0.16
- Thunderbird 2.0.0.16
- SeaMonkey 1.1.11


* Descarga de Firefox 2.0.0.16 en español:

http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.16/win32/es-ES/


* Descarga de Firefox 3.0.1 en español:

http://releases.mozilla.org/pub/mozilla.org/firefox/releases/latest-3.0/win32/es-ES/


* Referencias:

MFSA 2008-36 Crash with malformed GIF file on Mac OS X
http://www.mozilla.org/security/announce/2008/mfsa2008-36.html

MFSA 2008-35 Command-line URLs launch multiple tabs when Firefox not running
http://www.mozilla.org/security/announce/2008/mfsa2008-35.html

MFSA 2008-34 Remote code execution by overflowing CSS reference counter
http://www.mozilla.org/security/announce/2008/mfsa2008-34.html


* Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Mozilla.org Security Center
http://www.mozilla.org/security/


* Relacionados:

Revelan detalles de una vulnerabilidad no solucionada
http://www.vsantivirus.com/18-06-08.htm

Ataque combinado, no solo Safari es culpable
http://www.vsantivirus.com/03-06-08.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Primera actualización de Firefox 3 repara tres fallos críticos

Mensaje por Gaillimh el Vie Jul 18, 2008 11:21 am

Primera actualización de Firefox 3 repara tres fallos críticos
Fuente: http://www.kriptopolis.org/firefox-3.0.1

Firefox 3.0.1, presentado hoy, soluciona tres fallos de seguridad considerados por Mozilla como críticos.

* El primero hace caer al navegador al tratar de abrir un GIF malformado en Mac OS X.
* El segundo, descubierto por Billy Rios, afecta curiosamente a Firefox cuando no está funcionando. Si se pasa una URL con algún caracter "|" desde la línea de comandos se pueden ejecutar URIs de tipo "chrome", lo que permite explotar otras posibles vulnerabilidades.
* El tercero permite sobrecargar el contador de objetos CSS y colgar el navegador, abriendo la puerta a una posible ejecución de código. Este fallo afecta también a Thunderbird y Seamonkey.

Paralelamente se ha publicado también Firefox 2.0.0.16, que corrige los dos últimos fallos pero en la serie 2...

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Actualización de seguridad para Firefox 3 y otros productos Mozilla

Mensaje por Gaillimh el Dom Jul 20, 2008 1:45 pm

Hispasec - una-al-día 19/07/2008
Todos los días una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

Actualización de seguridad para Firefox 3 y otros productos Mozilla
-------------------------------------------------------------------

La Fundación Mozilla ha publicado actualizaciones de seguridad para
varios de sus productos, que solventan múltiples vulnerabilidades que
podrían ser aprovechadas por un atacante remoto para provocar una
denegación de servicio, saltarse restricciones de seguridad o ejecutar
código arbitrario en un sistema vulnerable.

El primero de los problemas corregidos en Firefox 2 y 3, que también
afectaría a SeaMonkey (y a Thunderbird si se tiene JavaScript
habilitado), fue reportado por un investigador anónimo a Zero Day
Initiative tan sólo cinco horas después del lanzamiento de la versión 3
del navegador, el pasado día 17 de junio. El segundo fallo lo comparten
las versiones 2 y 3 de Firefox, mientras que el tercero solo afectaría
a la rama 3 del navegador ejecutándose sobre la plataforma Mac OS X.

A continuación se explican las vulnerabilidades con más detalle:

* Se ha descubierto un error de desbordamiento de búfer al procesar
ciertos contenidos web. El problema está causado por un error en el
manejo del contador de referencia para los objetos CSS (hojas de estilo
en cascada), más concretamente al intentar liberar los objetos CSS
todavía en uso cuando se recibe un excesivo número de peticiones de
referencia a éste tipo de objetos. Esto podría ser aprovechado por un
atacante remoto para hacer que la aplicación deje de responder o para
ejecutar código arbitrario, por medio de una web maliciosa que
sobrecargase el contador de objetos CSS por medio de gran número de
referencias a la hojas de estilo.

* Existe una segunda vulnerabilidad (salto de restricciones) que podría
hacer que se abrieran múltiples pestañas en el navegador si una
aplicación que lo invoca, cuando Firefox NO está corriendo, le pasa
una línea de comandos especialmente modificada con una URI que contenga
el carácter "pipe" ("|"). Ejemplo:
'firefox http://hispasec.com|virustotal.com'. Ésta vulnerabilidad
podría ser aprovechada para saltarse las restricciones de seguridad
que previenen el acceso a URIs especiales, permitiendo la ejecución
de archivos almacenados en el sistema local (por medio de URIs del
tipo "file:").

Billy Rios ya informó de que este fallo, del que no se han desvelado los
detalles hasta ahora, podría ser aprovechado junto con la vulnerabilidad
"Carpet Bomb" de Safari para ejecutar código arbitrario en un sistema
vulnerable. Además ahora se avisa de que también podría ser aprovechado
para ejecutar código arbitrario si se invoca a un objeto del tipo chrome
(URIs de la forma "chrome:") al que se hubiera le inyectado código
script por medio de otra vulnerabilidad.

* El tercer problema de seguridad fue descubierto por Drew Yao de Apple
Product Security y está causado por un fallo en el tratamiento de
imágenes GIF. Esto podría causar que Firefox liberase un puntero no
inicializado, lo que podría aprovechado por un atacante remoto, por
medio de un archivo GIF especialmente manipulado, para hacer que el
navegador dejase de responder o ejecutar código arbitrario.

Además de las vulnerabilidades, la nueva versión de Firefox 3 ha
solventado algunos fallos de estabilidad, un problema en las bases de
datos de URLs maliciosas (utilizadas para el phishing o la descarga de
malware) y trae una actualización de la Public Suffix list (lista
pública de terminaciones de dominio).

Se recomienda la actualización de los productos Mozilla a las siguientes
versiones no vulnerables: Firefox 2.0.0.16 ó 3.0.1, Thunderbird 2.0.0.16
y SeaMonkey 1.1.11 tan pronto como estén disponibles desde:
http://www.mozilla.com/

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3556/comentar

Más información

Mozilla Foundation Security Advisory 2008-34: Remote code execution by overflowing CSS reference counter
http://www.mozilla.org/security/announce/2008/mfsa2008-34.html

Mozilla Foundation Security Advisory 2008-35: Command-line URLs launch multiple tabs when Firefox not running
http://www.mozilla.org/security/announce/2008/mfsa2008-35.html

Mozilla Foundation Security Advisory 2008-36: Crash with malformed GIF file on Mac OS X
http://www.mozilla.org/security/announce/2008/mfsa2008-36.html

Vulnerability Note VU#130923: Mozilla Firefox command line URI handling vulnerability
http://www.kb.cert.org/vuls/id/130923

20/06/2008 Primera vulnerabilidad crítica en Firefox 3
http://www.hispasec.com/unaaldia/3527

24/06/2008 Se actualiza por fin la vulnerabilidad "compartida" entre Safari y Windows
http://www.hispasec.com/unaaldia/3531


Pablo Molina
pmolina@hispasec.com

Gaillimh
Admin
Admin

Masculino
Cantidad de envíos : 4013
Edad : 51
Localización : Barcelona
Fecha de inscripción : 31/10/2007

Ver perfil de usuario http://www.pruebavihbarcelona.org

Volver arriba Ir abajo

Re: Conseguido récord Guinness con 8,002,530 millones de descargas de Firefox

Mensaje por Contenido patrocinado Hoy a las 11:26 am


Contenido patrocinado


Volver arriba Ir abajo

Ver el tema anterior Ver el tema siguiente Volver arriba

- Temas similares

 
Permisos de este foro:
No puedes responder a temas en este foro.