0 day en Mozilla Firefox

SabiasQueVolveria

0 day en Mozilla Firefox

Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la
ejecución de código remoto. No existe parche oficial y parece que se
han revelado algunos detalles sobre la forma de aprovecharla, lo que
lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que
atosiga a Microsoft en los últimos meses.

Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la
conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que
puede permitir a un atacante remoto ejecutar código arbitrario en el
contexto del usuario que ejecutase la aplicación, independientemente
del sistema operativo sobre el que se asiente. Parece que no se han
publicado (al menos en línea) más detalles técnicos sobre el problema,
pero la revelación de los descubridores ha llamado la atención de los
medios. En cualquier caso, se debe ser cauto, y todavía desde algunos
foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha
protagonizado muchas de las vulnerabilidades del navegador hasta la
fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su
implementación en Firefox de "un completo desorden" y afirman conocer al
menos 30 fallos más que pueden permitir vulnerar al navegador a través
de desbordamientos de pila y JavaScript. "Es imposible de parchear",
afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo
demasiada gracia la revelación de la vulnerabilidad en público en una
conferencia, sin que previamente se hubiesen puesto en contacto con el
equipo de programación. Adelantó que están investigando el fallo, y que
si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que
"Internet Explorer, como todo el mundo sabe, no es muy seguro, pero
Firefox también es bastante inseguro", avivando así una estéril
discusión entre navegadores, ya bastante gastada tras, por ejemplo, el
último informe de Symantec. En él, publicado a finales de septiembre,
Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde
enero a junio de 2006. Del informe se desprendía que Internet Explorer
era el navegador más atacado, pero que Mozilla Firefox sufría más
vulnerabilidades. También, que Internet Explorer era el que mantenía a
sus usuarios desprotegidos durante más tiempo. Este informe hizo que
(como ocurre cada cierto tiempo) se volviese a discutir lo relativo de
las cifras absolutas, y se condenasen los métodos de actualizaciones de
Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio
de Hispasec, se viene observando desde hace tiempo cómo los troyanos
tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar
su nombre en el código del malware destinado al robo de credenciales,
si bien no se suelen utilizar sus vulnerabilidades como medio de
infección... pero esto puede cambiar con el tiempo y su creciente
popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no
garantiza un mayor grado de seguridad que si se utiliza Internet
Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una
falsa sensación de seguridad y por ello se dejan de tomar las medidas
de seguridad adecuadas que resultan imprescindibles para usar de forma
responsable cualquier programa. Esto debe ir más allá de su (subjetiva
y etérea) fama de seguro o inseguro.

Fuente: Hispasec Sistemas

saludos

noctuido

Todo es una broma de mal gusto:

http://developer.mozilla.org/devnews...ed-at-toorcon/

Las empresas de seguridad y portales que han dicho públicamente que han verificado el fallo...

Saludos.

02 oct 2006, 20:21	#1 (permalink)
SabiasQueVolveria Banead@ Registrado: agosto 2006 Mensajes: 162	0 day en Mozilla Firefox 0 day en Mozilla Firefox Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses. Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. Parece que no se han publicado (al menos en línea) más detalles técnicos sobre el problema, pero la revelación de los descubridores ha llamado la atención de los medios. En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema. JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha protagonizado muchas de las vulnerabilidades del navegador hasta la fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su implementación en Firefox de "un completo desorden" y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. "Es imposible de parchear", afirmaron. A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación. Adelantó que están investigando el fallo, y que si afecta al intérprete, la solución puede llevar tiempo. Para terminar de sembrar la polémica, los descubridores afirmaron que "Internet Explorer, como todo el mundo sabe, no es muy seguro, pero Firefox también es bastante inseguro", avivando así una estéril discusión entre navegadores, ya bastante gastada tras, por ejemplo, el último informe de Symantec. En él, publicado a finales de septiembre, Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde enero a junio de 2006. Del informe se desprendía que Internet Explorer era el navegador más atacado, pero que Mozilla Firefox sufría más vulnerabilidades. También, que Internet Explorer era el que mantenía a sus usuarios desprotegidos durante más tiempo. Este informe hizo que (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de las cifras absolutas, y se condenasen los métodos de actualizaciones de Microsoft. Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio de Hispasec, se viene observando desde hace tiempo cómo los troyanos tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar su nombre en el código del malware destinado al robo de credenciales, si bien no se suelen utilizar sus vulnerabilidades como medio de infección... pero esto puede cambiar con el tiempo y su creciente popularidad. En definitiva, navegar con Firefox (o cualquier otro navegador) no garantiza un mayor grado de seguridad que si se utiliza Internet Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una falsa sensación de seguridad y por ello se dejan de tomar las medidas de seguridad adecuadas que resultan imprescindibles para usar de forma responsable cualquier programa. Esto debe ir más allá de su (subjetiva y etérea) fama de seguro o inseguro. Fuente: Hispasec Sistemas saludos

03 oct 2006, 18:48	#2 (permalink)
noctuido Miembro activo Registrado: febrero 2005 Ubicación: Entre la "nube" y la tierra. Mensajes: 5.516	Re: 0 day en Mozilla Firefox Todo es una broma de mal gusto: http://developer.mozilla.org/devnews...ed-at-toorcon/ Las empresas de seguridad y portales que han dicho públicamente que han verificado el fallo... Saludos.
	Fedora Goddard Ubuntu 10.10 Linux User #383510 Ubuntu User #1507

Herramientas
Versión para imprimir Enviar por correo
Estilo
Modo lineal Cambiar a modo híbrido Cambiar a modo de árbol

Tema	Iniciado por	Foro	Respuestas	Último mensaje
03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox	usuario softonic	Seguridad	4	05 feb 2006 12:16
Usuarios de Firefox, Mozilla y Netscape en peligro	JaCop	Seguridad	2	26 sep 2005 23:39
Vulnerabilidad crítica en Netscape, Mozilla y Firefox	JaCop	Seguridad	4	10 sep 2005 14:19
Grave vulnerabilidad en extensiones de Mozilla Firefox	JaCop	Comunicación	5	09 jun 2005 11:23
problemas con mozilla firefox	wanm28	Software	10	04 mar 2005 19:12

0 day en Mozilla Firefox

Temas similares

Acceso a todos los temas