03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox

03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox

Los usuarios de Mozilla Firefox tienen a su disposición una actualización
que resuelve numerosas vulnerabilidades altamente críticas, que podrían
facilitar diversos tipos de ataques potenciales a los usuarios de esta
solución de navegación.

Mozilla Firefox es un navegador Web gráfico libre y multiplataforma
desarrollado por Mozilla Corporation y la colaboración de una amplia
comunidad de usuarios. Los orígenes de Firefox se remontan a la liberación
de la versión "Phoenix" en septiembre de 2002 como culminación de un fork
del componente Navigator de la suite de comunicaciones Mozilla Application
Suite.

Los errores corregidos podrían ser fuente de diversos problemas de
seguridad, tales como la revelación de información sensible y del sistema,
Cross-Site Scripting y saltos de restricciones de seguridad.

Los fallos documentados, hasta un total de ocho, son de diversa criticidad.
De severidad baja podríamos calificar un determinado comportamiento anómalo
en la implementación E4X, la gestión de páginas con títulos extremadamente
largos y un error en el intérprete XML, como fallos de criticidad moderada
una vulnerabilidad del motor Javascript, un problema de gestión de memoria
del motor Gecko, irregularidades en los objetos "Location and Navigator" y
algunos fallos descubiertos en las nuevas características E4X, SVG, y
Canvas. Todos estos problemas están descritos en los enlaces proporcionados
en el epígrafe "Más información".

El único problema calificado como crítico es el originado por un error en la
función XULDocument.persist(), que al no validar el atributo de nombre,
permitiría que un atacante inyectase código XML en localstore.rdf, fichero
que es leído y cargado cuando iniciamos Firefox, pudiendo resultar la
explotación en la inclusión de comandos JavaScript que serían ejecutados con
los permisos del navegador. Este problema podría ser todavía más crítico si
se permite la ejecución de JavaScript en el cliente de correo Mozilla
Thunderbird, si bien la configuración por defecto de Thunderbird no permite
la ejecución de este tipo de scripts.

La solución pasa por la actualización a Firefox 1.5.0.1. Los usuarios que lo
deseen, pueden usar SeaMonkey 1.0, exenta de fallos. Seamonkey es un
proyecto en la línea de Mozilla Application Suite, que incluye navegador,
cliente de correo y otras funcionalidades como cliente IRC y edición de
HTML. SeaMonkey, al igual que Firefox, es gratuito para su uso y descarga,
estando su código totalmente abierto y disponible.

Es recomendable que los usuarios de Mozilla Thunderbird sigan las noticias
oficiales del sitio, puesto que los problemas corregidos para Firefox
podrían tener una ventana de explotación en el gestor de correo.

http://www.hispasec.com/unaaldia/2659


Por cierto que teno la mozilla firefox y me dice Shockwave Flash, efectuó una operación ilegal. Se recomienda reiniciar el navegador, ya lo e heco y me sale todo el rato, que pasa??? que hago???

Re: 03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox

Múltiples vulnerabilidades en Mozilla Firefox

Re: 03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox

vaya, perdon no lo habia visto,

Re: 03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox

Re: 03/02/2006 - Múltiples vulnerabilidades en Mozilla Firefox