Usuarios de Firefox, Mozilla y Netscape en peligro

Usuarios de Firefox, Mozilla y Netscape en peligro

Usuarios de Firefox, Mozilla y Netscape en peligro

Por Angela Ruiz
angela@videosoft.net.uy

Se ha liberado un exploit (código que saca provecho de una vulnerabilidad), que podría permitir a un atacante tomar el control completo de las computadoras que se conecten a Internet con versiones no actualizadas de Firefox, Mozilla o Netscape.

Los usuarios que se han actualizado a las versiones 1.0.7 de Firefox, o 1.7.12 de Mozilla, no son afectados.

Usuarios de Firefox 1.5 Beta 1 y Netscape, siguen vulnerables, pues no existen parches o actualizaciones, aunque Mozilla publicó algunas sugerencias para minimizar los riesgos en versiones vulnerables de Firefox y de Mozilla, que también pueden aplicarse provisoriamente en Netscape (ver "Vulnerabilidad crítica en Netscape, Mozilla y Firefox", http://www.vsantivirus.com/vul-idn-090905.htm).

El exploit puede ser modificado para que cualquier usuario malicioso pueda causar graves daños en los equipos vulnerables, y no un simple cuelgue del programa, como hacía la prueba de concepto presentada al comienzo.

Este código puede ejecutarse cuando se visita un sitio web malicioso, si se utiliza para navegar cualquiera de las versiones vulnerables de Firefox, Mozilla o Netscape.

La vulnerabilidad explotada, es la relacionada con un desbordamiento de búfer en la función "NormalizeIDN", cuando se manejan nombres de dominio internacionales con la norma conocida como IDN por las siglas en inglés de "International Domain Name", y que permite la utilización de caracteres como la "eñe" por ejemplo.

Una vez ejecutado el exploit, puede controlarse el equipo afectado de forma remota. El código también podría ser modificado en el futuro, para que un gusano o un caballo de Troya, llegara a utilizarlo para infectar equipos vulnerables.

Los usuarios de Firefox y Mozilla, deberían actualizarse a la brevedad a las versiones que corrigen el problema (1.0.7 y
1.7.12 respectivamente).

Netscape no ha publicado ningún parche hasta el momento, pero el exploit actual no lo afectaría del mismo modo que a Firefox, aunque ello podría variar en próximas modificaciones del exploit.

Los usuarios de Firefox 1.5 Beta 1 también son afectados, pero aún no ha sido publicada una versión definitiva que corrija el problema (solo existen compilaciones de una versión 1..


* Solución:

Actualizarse a las versiones no vulnerables de Firefox y Mozilla. Más información:

Firefox 1.0.7 resuelve vulnerabilidades críticas http://www.vsantivirus.com/firefox-107.htm

Mozilla 1.7.12 resuelve vulnerabilidades críticas http://www.vsantivirus.com/mozilla-1712.htm


* Relacionados:

Vulnerabilidad crítica en Netscape, Mozilla y Firefox http://www.vsantivirus.com/vul-idn-090905.htm

Firefox 1.5 Beta 1 vulnerable al IDN Buffer Overflow http://www.vsantivirus.com/vul-idn-130905.htm


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

Saludos

Re: Usuarios de Firefox, Mozilla y Netscape en peligro

WENASSSSSSSSSSS!!!!!



gracias por la informacion

Respuesta de Mozilla a Symantec

La respuesta de Mozilla a Symantec

Tristan Nitot, presidente de Mozilla Europa, argumenta que los datos de Symantec sobre la supuesta inseguridad de Firefox son parciales, pues es juez y parte del estudio, dado que obtiene la mayoría de sus ingresos de los errores de diseño y bugs de Windows y está viendo sus ganancias afectadas por la expansión del Software Llibre.

Sobre todo, llama la atención el hecho de que Symantec no menciona que entre los años 2003 a 2005, IE tuvo 85 vulnerabilidades críticas, contra 22 de Firefox, no todas de alto riesgo.

Nitot también señala que Microsoft ha lanzado versiones nuevas de IE sin haber corregido fallos graves de seguridad ya reportados, "cosa que no pasa con las liberaciones de Firefox".

Enlace original