Foros ZackYFileS - Firefox 2.0.0.10 corrige tres vulnerabilidades

Foros ZackYFileS (http://foros.zackyfiles.com/index.php)

- NOTICIAS TECNOLÓGICAS (http://foros.zackyfiles.com/forumdisplay.php?f=372)

- - Firefox 2.0.0.10 corrige tres vulnerabilidades (http://foros.zackyfiles.com/showthread.php?t=546117)

Firefox 2.0.0.10 corrige tres vulnerabilidades

Se ha publicado una nueva versión de Firefox, que corrige al menos tres vulnerabilidades, todas ellas clasificadas con un nivel de impacto "Alto". Mozilla utiliza esta clasificación (intermedia entre "Crítico" y "Moderado"), para aquellas vulnerabilidades que pueden ser explotadas para interactuar con el usuario, obtener información sensible a partir de sitios diferentes a los que el usuario está visitando, o inyectar datos o código en esos lugares.

La primera de esas vulnerabilidades está relacionada con el manejo de los datos obtenidos utilizando el protocolo JAR, lo que puede permitir a un atacante ataques del tipo Cross-Site-Scripting (XSS), esto es, la posibilidad de eludir las restricciones para ejecutar scripts (archivos de comandos), en ventanas pertenecientes a diferentes dominios.

Tal como publicábamos hace un par de semanas (ver en "Relacionados"), existe una prueba de concepto que demuestra que los usuarios de Gmail, pueden ser víctimas fáciles de este tipo de ataque, si utilizan por ejemplo Firefox para ingresar a su cuenta Web.

La segunda vulnerabilidad cubre tres errores de corrupción de memoria en el programa, lo que puede ocasionar que el mismo deje de responder. Aunque podría ser posible la ejecución de código, ello no ha sido demostrado.

Finalmente, la tercera vulnerabilidad corregida, permite la falsificación de la información entregada por la cabecera HTTP-REFERER, o sea la página o servidor desde donde viene la petición del navegador (por ejemplo, el enlace usado para llegar allí). Esto podría ser utilizado en ataques de falsificación o phishing.

Se recomienda la actualización inmediata a la última versión.

Última versión NO vulnerable:

- Firefox 2.0.0.10

Descarga de Firefox 2.0.0.10 en español:

[url]http://www.mozilla-europe.org/es/products/firefox/[/url]

Referencias:

jar: URI scheme XSS hazard
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-37.html[/url]

Memory corruption vulnerabilities (rv:1.8.1.10)
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-38.html[/url]

Referer-spoofing via window.location race condition
[url]http://www.mozilla.org/security/announce/2007/mfsa2007-39.html[/url]

Referencias CVE:

[url]http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5947[/url]
[url]http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5959[/url]
[url]http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-5960[/url]

Relacionados:

Vulnerabilidad en JAR: en navegadores de Mozilla
[url]http://www.vsantivirus.com/vul-mozilla-jar-071107.htm[/url]

Denegación de servicio en Firefox 2.0.0.9
http://www.vsantivirus.com/vul-firefox-dos-021107.htm

Más información:

Known Vulnerabilities in Mozilla Products
[url]www.mozilla.org/projects/security/known-vulnerabilities.html[/url]

Mozilla.org Security Center
[url]www.mozilla.org/security/[/url]

FUENTE :[url]http://www.vsantivirus.com/firefox-261107.htm[/url]

y ya disponible la 2.0.0.11, y ahora que corrige ¿las anteriores correcciones?

Un fallo importante ( Canvas.drawImage), esto no es como Explorer que te dejan dos semanas con el "culo" al aire con vulnerabilidades importantes (a veces mas tiempo), alguien reporta un bug y se corrige en el menor tiempo posible...

Como si hay que hacer 20 versiones :)

Lo importante es estar seguros :)

Siendo un usuario habitual de firefox desde hace años, habiendo tenido que pelearme con él para compilarlo en plataformas linux "embebidas" como la que usamos para las aulas de nuestra universidad, y reconociendo la capacidad del grupo de desarrolladores de innovar en el ámbito de los navegadores, la verdad es que tengo que reconocer que el código de firefox cada vez deja más que desear.

Versión a versión han conseguido que la "huella" de memoria que deja sea cada vez más monstruosa. Si mirais el código, sobre todo del "core" (la parte de chrome), está plagado bloques de código obsoleto comentado. Hay algunas partes donde cualquier programador sin demasiada experiencia puede ver estructuras y algoritmos muy poco ortodoxos, etc.

Creo que habría que hacerle un re-styling general para volver a la idea primera del navegador, que surgió como una versión más ligera y funcional del original mozilla. Pero viendo lo que se avecina para la versión 3.0 me temo que no van a ir por ahí los tiros lamentablemente.

Un saludo.

Segun comentan (y prometen) la 3 ocupara menos recursos... pero hasta que no lo vea.. :)

De todas formas, hay "forks" de firefox, que no son tan monstruosos como Galeon, o kmaleon, que mantienen la potencia del firefox al usar el motor gecko, pero no son Firefox...

Probar cosas nuevas es bueno... luego uno se queda con lo que le gusta :)