• Domingo 17 de Noviembre de 2024, 15:25

Autor Tema:  0 Day En Mozilla Firefox  (Leído 8102 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
0 Day En Mozilla Firefox
« en: Martes 3 de Octubre de 2006, 22:15 »
0
Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la
ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses.

Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. Parece que no se han publicado (al menos en línea) más detalles técnicos sobre el problema, pero la revelación de los descubridores ha llamado la atención de los
medios. En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha protagonizado muchas de las vulnerabilidades del navegador hasta la fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su implementación en Firefox de "un completo desorden" y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. "Es imposible de parchear", afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación. Adelantó que están investigando el fallo, y que si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que "Internet Explorer, como todo el mundo sabe, no es muy seguro, pero Firefox también es bastante inseguro", avivando así una estéril discusión entre navegadores, ya bastante gastada tras, por ejemplo, el último informe de Symantec. En él, publicado a finales de septiembre, Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde enero a junio de 2006. Del informe se desprendía que Internet Explorer era el navegador más atacado, pero que Mozilla Firefox sufría más vulnerabilidades. También, que Internet Explorer era el que mantenía a sus usuarios desprotegidos durante más tiempo. Este informe hizo que (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de las cifras absolutas, y se condenasen los métodos de actualizaciones de Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio de Hispasec, se viene observando desde hace tiempo cómo los troyanos tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar su nombre en el código del malware destinado al robo de credenciales, si bien no se suelen utilizar sus vulnerabilidades como medio de infección... pero esto puede cambiar con el tiempo y su creciente
popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no garantiza un mayor grado de seguridad que si se utiliza Internet Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una falsa sensación de seguridad y por ello se dejan de tomar las medidas de seguridad adecuadas que resultan imprescindibles para usar de forma responsable cualquier programa. Esto debe ir más allá de su (subjetiva y etérea) fama de seguro o inseguro.

Más Información:

Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20282/discuss

0day vulnerabilities in Firefox, with source
http://blogs.securiteam.com/index.php/archives/657

Hackers claim zero-day flaw in Firefox
http://news.zdnet.com/2100-1009-6121608.html

Some Sobering Security Stats
http://blog.washingtonpost.com/securityfix...ure%20Watch.pdf
El pasado son solo recuerdos, el futuro son solo sueños

JuanK

  • Miembro de ORO
  • ******
  • Mensajes: 5393
  • Nacionalidad: co
    • Ver Perfil
    • http://juank.io
Re: 0 Day En Mozilla Firefox
« Respuesta #1 en: Miércoles 4 de Octubre de 2006, 15:22 »
0
Mas de la noticia en:
Cita de: "revistaEnter"
Octubre 3 de 2006
Denuncian fallo grave de seguridad en el navegador Firefox

Este le permitiría a un delincuente operar remotamente el PC afectado a través del navegador. No hay parche o solución a la vista.

Firefox

En una reunión sobre seguridad informática, que se realiza en San Diego, E.U., los hackers Mischa Spiegemolck y Andrew Wbeelsoi anunciaron un descubrimiento sobre un fallo grave de seguridad en el navegador gratuito Firefox.

Dicho fallo, dicen los expertos reunidos en el foro Toorcon, le permitiría a un delincuente informático apropiarse de un computador, sin importar el sistema operativo (Windows, Linux o Mac), a través del navegador Firefox y ejecutar código malicioso de manera remota.

El fallo sucede a través del sistema Java Script del navegador, el cual se usa para ejecutar aplicaciones dentro del programa relacionadas con el despliegue de información gráficaen ciertos sitios web.

Según un informe del diario El País de España, en los seis primeros meses de este año se han detectado 38 fallos de seguridad en el navegador Internet Explorer, mientras que en Firefox se han hallado 47.

Para el fallo anunciado por los hackers no hay una solución o parche. Ambos coincidieron en afirmar que conocen otras 30 fallas de seguridad en Firefox, sin parche, pero que no piensan revelarlas por el momento.

Firefox es un navegador gratuito hecho por una comunidad de personas en todo elmundo agrupadas en una entidad llamada Fundación Mozilla, que hace otro tipo de aplicaciones bajo el modelo de código libre o abierto, para que los programas puedan ser mejorados por otras personas de manera libre.

En ocasiones anteriores, expertos de seguridad, dice el informe del diario El País de España, han criticado duramente a la Fundación Mozilla por demorarse demasiado a la hora de liberar parches que corrijan los errores de seguridad de sus programas.

Como? pero es software libre!!! que raro y tambien falla en linux!!!que raro!!! pero si linux y el software libre son invensibles!!!  :blink:  

Como me gustaria que los amigos del  hacker.net vieran esto...  :whistling:  pero desde la empresa no puedo entrar a esa pagina  :angry:
[size=109]Juan Carlos Ruiz Pacheco
[/size]
Microsoft Technical Evangelist
@JuanKRuiz
http://juank.io

su -

  • Moderador
  • ******
  • Mensajes: 2349
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #2 en: Miércoles 4 de Octubre de 2006, 21:57 »
0
Invensibles je, je, je de hecho es mas factible que sean mas vulnerables que los otros, pero una en muchas...  :whistling:
Aun asi si nunca me gusto Firefox y nunca me gustara, es una porqueria (no tanto como IE 6, no se el 7 pero el 6 arrghhh) en fin, entonces si estoy en AIX, OpenSolaris, Solaris, SunOS, Tru64, HP-UX, OS*, *BSD, BeOS/Zeta|Haiuko no me pueden tocar, ja, ja  :P
*******PELIGRO LEE ESTO!!*******

There is no place like 127.0.0.1

Conecto luego existo, no conecto luego insisto.

x.cyclop

  • Miembro de PLATA
  • *****
  • Mensajes: 1039
  • Nacionalidad: mx
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #3 en: Miércoles 4 de Octubre de 2006, 23:26 »
0
Cita de: "JuanK"
Como me gustaria que los amigos del  hacker.net vieran esto...  :whistling:  pero desde la empresa no puedo entrar a esa pagina  :angry:
¿Porqué no puedes entrar? :huh:

Te responderían así:
http://foro.elhacker.net/index.php/topic,1....html#msg669253

 :whistling:

- Great works aren't produced on the first try. [Ernest Hemingway]
- Be ambitious, yet realistic in your dreams. Do something that makes a positive impact. Don’t let the nay-sayers get you down. [Bjarne Stroustrup]

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #4 en: Miércoles 4 de Octubre de 2006, 23:44 »
0
Cita de: "X.Cyclop"
¿Porqué no puedes entrar? :huh:
si mal no recuerdo, a JuanK en el trabajo le bloqueban págians que en la direccion tengan siertas palabras como: juges, vgames, messenger, etc...

JuanK

  • Miembro de ORO
  • ******
  • Mensajes: 5393
  • Nacionalidad: co
    • Ver Perfil
    • http://juank.io
Re: 0 Day En Mozilla Firefox
« Respuesta #5 en: Jueves 5 de Octubre de 2006, 00:10 »
0
ASI ES  <_<

aunque tengo un metodo de acceso pero solo lo uso para cosas importantes porque me lo dscubren y me lo quitan... :whistling:

Hay mucho linuxero tonto en el foro del hacker y muy pocos que realmente saben del tema mas alla de las frases habituales ya mencionadas.
[size=109]Juan Carlos Ruiz Pacheco
[/size]
Microsoft Technical Evangelist
@JuanKRuiz
http://juank.io

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #6 en: Jueves 5 de Octubre de 2006, 00:23 »
0
Cita de: "JuanK"
ASI ES  <_<

aunque tyengo un metodo de acceso pero solo lo uso para cosas importantes porque me lo dscubren y me lo quitan... :whistling:
no podes mensionar algo y no decir que es :(
 :P

x.cyclop

  • Miembro de PLATA
  • *****
  • Mensajes: 1039
  • Nacionalidad: mx
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #7 en: Jueves 5 de Octubre de 2006, 00:38 »
0
Cita de: "JuanK"
Hay mucho linuxero tonto en el foro del hacker y muy pocos que realmente saben del tema mas alla de las frases habituales ya mencionadas.
"Muy pocos". Yo no he visto ninguno... Parecen todos copias de Richard Stallman (en como critican a MS, no en su apariencia). :scream:

- Great works aren't produced on the first try. [Ernest Hemingway]
- Be ambitious, yet realistic in your dreams. Do something that makes a positive impact. Don’t let the nay-sayers get you down. [Bjarne Stroustrup]

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #8 en: Jueves 5 de Octubre de 2006, 00:45 »
0
Citar
"Muy pocos". Yo no he visto ninguno... Parecen todos copias de Richard Stallman (en como critican a MS, no en su apariencia). scream.gif
deberian cambiar la dir por: http://foro.el_lamer.net

JuanK

  • Miembro de ORO
  • ******
  • Mensajes: 5393
  • Nacionalidad: co
    • Ver Perfil
    • http://juank.io
Re: 0 Day En Mozilla Firefox
« Respuesta #9 en: Jueves 5 de Octubre de 2006, 00:56 »
0
Si, en ese sentido creo que la idea que tube hace unos años ( aunque algunos me dieron mucha piedra por eso) de lo de los mensajes rechazados ha surtido frutos porque si bien no tenemos tantos usuarios como en el hacker.net por lo menos tenemos mayor calidad en los usuarios que hay y gracias a criticos tan punzantes, agresivos y detallistas como Eternal Idol muchos somos ahora un poco mas prudentes al momento de hacer comenatarios de los cuales no estamos 100% seguros... en fin , eso + todo lo que hacemos todos a diario han hecho de este un mejor foro en muchos niveles en comparacion con foros como ese.
[size=109]Juan Carlos Ruiz Pacheco
[/size]
Microsoft Technical Evangelist
@JuanKRuiz
http://juank.io

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #10 en: Jueves 5 de Octubre de 2006, 01:02 »
0
Sigo desvirtuando el hilo:

http://foro.elhacker.net/index.php/topic,141032.0.html
¡Llaman a eso hackining avanzado!,
 el sujeto cuenta como entrar en una pagina en php como administrador..... todo se basa porque entra en www.pagina.com/admin que no tiene un index , por eso el explorador lista los archivos y ahí se encuentra el archivo config.php que tiene la contraseña del administrador.

su -

  • Moderador
  • ******
  • Mensajes: 2349
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #11 en: Jueves 5 de Octubre de 2006, 01:03 »
0
Cita de: "X.Cyclop"
Cita de: "JuanK"
Como me gustaria que los amigos del  hacker.net vieran esto...  :whistling:  pero desde la empresa no puedo entrar a esa pagina  :angry:
¿Porqué no puedes entrar? :huh:

Te responderían así:
http://foro.elhacker.net/index.php/topic,1....html#msg669253

 :whistling:
Es triste, eso no es un linuxero (de mi forma de ver) ya que un linuxero (desde mi punto de vista, notese) no es necesariamente un anti-microsoft, es mas segun veo los post mas de uno esta en Windows ya que nombra antivirus y otras aplicaciones.
un linuxero se deberia definir como un guru de Linux ¿GNU?  y no un charlatan que pretende (tal como desafortunadamente yo he hecho, por estupido, pero he aprendido) que el mundo sea un uniforme igual para todo el mundo, sin darse cuenta de la realidad, la diversidad de S.O. hace que el software tanto OpenSource como privado compitan, esto es bueno para nosotros y para el mundo.
Tambien es bueno que haya mas de uno, asi se aprende los errores de cada uno.
PD: Si tiene algo que refutar, por favor digan.
 :smartass:
*******PELIGRO LEE ESTO!!*******

There is no place like 127.0.0.1

Conecto luego existo, no conecto luego insisto.

JuanK

  • Miembro de ORO
  • ******
  • Mensajes: 5393
  • Nacionalidad: co
    • Ver Perfil
    • http://juank.io
Re: 0 Day En Mozilla Firefox
« Respuesta #12 en: Jueves 5 de Octubre de 2006, 02:21 »
0
:smartass:

estoy de acuerdo

ahi sembre la polemica....  :whistling:

http://foro.elhacker.net/index.php?topic=1...72438#msg672438
[size=109]Juan Carlos Ruiz Pacheco
[/size]
Microsoft Technical Evangelist
@JuanKRuiz
http://juank.io

su -

  • Moderador
  • ******
  • Mensajes: 2349
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #13 en: Jueves 5 de Octubre de 2006, 02:35 »
0
Cita de: "JuanK"
:smartass:

estoy de acuerdo

ahi sembre la polemica....  :whistling:

http://foro.elhacker.net/index.php?topic=1...72438#msg672438
Te van a "madrear", esos no son linuxeros son fanaticos religiosos por decirlo asi, como ya dije mas de uno usa Windows pero te apuesto que ahi mas de uno no sabe decir con hechos cual es relamente mas seguro y porque.
Aunque no puedo decir que IE no lo sea, IE no sigue ningun standar de por si es una bug y me causa mucha gracia navegar por wikipedia y todos los antivirus salgan con eso de que su maquina esta en riesgo, ja, ja.
En fin, el que no sea pecador que tire la primera piedra, todos han y tiene problemas y asi sera por siempre, y quien mas o menos yo digo que se dan la mano y por eso no hay que preocuparse si no por arreglar el problema (lo malo es que en IE no puedes) o yo que se.
*******PELIGRO LEE ESTO!!*******

There is no place like 127.0.0.1

Conecto luego existo, no conecto luego insisto.

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #14 en: Jueves 5 de Octubre de 2006, 02:45 »
0
Voy a seguir el hilo, pero adhiero a la opinion de  su-, te van a dar con un caño al IE y al que diga que su dios FireFox no es seguro.
Citar
fanáticos religiosos
no hay nada mas que decir, les falta hacer "Las Santas Cruzadas" eliminando a todo aquel infiel que use productos de Microsoft y Compania. :whistling:

x.cyclop

  • Miembro de PLATA
  • *****
  • Mensajes: 1039
  • Nacionalidad: mx
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #15 en: Jueves 5 de Octubre de 2006, 04:03 »
0
Cita de: "Enko"
deberian cambiar la dir por: http://foro.el_lamer.net
Lo que pasa es que cualquiera entra y pone sus estupideces. Yo les dije que en los foros de Hacking y Virus deberían de aprobar los mensajes para evitar tanto lammer. Por eso hay temas del tipo "cómo espiar a mi novia?", "como jaquiarle el imeil a mi novio", "como jaquiar esta web"...

Realmente, los foros de Hacking están para proteger tu server, wireless, crear troyanos para tu oficina y tu casa, y no para estar defaceando webs o creando malware, pero bueno, es su bronca. :whistling:

Citar
estoy de acuerdo

ahi sembre la polemica.... whistling.gif

http://foro.elhacker.net/index.php?topic=1...72438#msg672438
No son linuxeros, son otros envidiosos que se la pasan criticando a Microsoft. No saben reconocer que Firefox tiene más vulnerabilidades (aunque no tan graves) que IE. <_<

- Great works aren't produced on the first try. [Ernest Hemingway]
- Be ambitious, yet realistic in your dreams. Do something that makes a positive impact. Don’t let the nay-sayers get you down. [Bjarne Stroustrup]

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #16 en: Viernes 6 de Octubre de 2006, 15:33 »
0
http://www.elhacker.net/noticias/elhacker-1160070397.html
Citar
La vulnerabilidad en Firefox pudo ser una broma
La vulnerabilidad anunciada como 0 day para Mozilla Firefox ha podido  ser una broma de mal gusto a la que se ha dado demasiada credibilidad.  Parece que el error no permite la ejecución de código, y (por ahora)  representa un simple fallo que hace que la aplicación se cuelgue.

Desde el primer momento, tal y como anunciamos en un boletín anterior, no quedaba excesivamente clara la potencial gravedad de la vulnerabilidad. "En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema" decíamos entonces. No se tenían detalles, tan sólo una presentación en directo en una conferencia, aunque sí fue confirmado por algunos medios importantes como SecurityFocus. Finalmente, parece que las sospechas se confirman y la vulnerabilidad ha perdido bastante peso en cuanto a potencial dañino.

Los propios responsables de la difusión del supuesto fallo han confesado que querían pasárselo bien y sin pruebas, afirmaron que podrían ejecutar código y que conocían muchas otras vulnerabilidades no reveladas. Pura fanfarronería.

Snyder, jefa de seguridad de Mozilla, ha confirmado que la denegación de servicio es reproducible en base a la información aportada por los dos bromistas, pero que no pueden confirmar la ejecución de código. A pesar de la desagradable broma, en Mozilla se lo toman en serio y lo están estudiando. Harán saber si en realidad es posible la ejecución de código. No en vano, es cierto que JavaScript es un problema real para todo navegador y ha sido fuente de graves vulnerabilidades anteriores.

Esperemos que no ocurra como con la reciente vulnerabilidad en el control ActiveX WebViewFolderIcon de Internet Explorer. El día 17 de julio HD Moore la descubrió y publicó que se trataba de una simple forma de hacer morder el polvo al navegador. Hubo que esperar al 27 de septiembre para que alguien hiciese pública una forma de aprovecharlo para ejecutar código y se convirtiese en una de las vulnerabilidades más explotadas del momento. Nunca se sabe.

La experiencia debe convencernos que no siempre todo lo que se dice o hace en una demostración en directo es cierto. Sin ir más lejos, una historia sospechosamente parecida ocurrió a principios de agosto, cuando Jon "Johnny Cache" Ellch y David Maynor quisieron demostrar en una presentación Black Hat cómo colarse en un Apple Macbook en 60 segundos a través de sus controladores "wireless". Finalmente todo fue una gran exageración y la demostración, aunque vistosa, no era del todo real. En resumen, usaron otros controladores vulnerables que no pertenecían a Apple.

Todo esto ha servido, como también escribíamos anteriormente, para avivar la estéril polémica entre navegadores. A la espera de que se confirme si realmente existe un problema grave (posible, pero poco probable), lo que sigue siendo cierto es que, cada vez más, la seguridad del navegador depende en gran medida del usuario. Se deben tomar las medidas de seguridad adecuadas para usar de forma responsable cualquier programa. Las discusiones partidistas están de más, y sobre todo, las bromas de mal gusto con las que se busca una rápida notoriedad a costa de alarmar a los usuarios.

Más información:

RETIRED: Mozilla Firefox Multiple Unspecified Javascript Vulnerabilities
http://www.securityfocus.com/bid/20294/discuss

Update: Possible Vulnerability Reported at Toorcon
http://developer.mozilla.org/devnews/index...ted-at-toorcon/

Hijacking a Macbook in 60 Seconds orLess
http://blog.washingtonpost.com/securityfix...in_60_seco.html

Sergio de los Santos
ssantos@hispasec.com


FUENTE : http://www.hispasec.com/unaaldia/2902
05 Oct 2006 por wolfbcn

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #17 en: Viernes 6 de Octubre de 2006, 15:41 »
0
El pasado son solo recuerdos, el futuro son solo sueños

Enko

  • Miembro de PLATA
  • *****
  • Mensajes: 1562
  • Nacionalidad: 00
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #18 en: Viernes 6 de Octubre de 2006, 15:52 »
0
Cita de: "RadicalEd"
Cita de: "Enko"
http://www.elhacker.net/noticias/elhacker-1160070397.html
Gracias Enko iba a públicar lo mismo:
http://www.hispasec.com/unaaldia/2902
justo lo saque de la seccion de noticias de elhacker de la página principal.
y como hubo una discución alli, me pareció interesante ....

Bicholey

  • Moderador
  • ******
  • Mensajes: 1234
    • Ver Perfil
Re: 0 Day En Mozilla Firefox
« Respuesta #19 en: Miércoles 11 de Octubre de 2006, 08:56 »
0
Cita de: "Enko"
Sigo desvirtuando el hilo:

http://foro.elhacker.net/index.php/topic,141032.0.html
¡Llaman a eso hackining avanzado!,
 el sujeto cuenta como entrar en una pagina en php como administrador..... todo se basa porque entra en www.pagina.com/admin que no tiene un index , por eso el explorador lista los archivos y ahí se encuentra el archivo config.php que tiene la contraseña del administrador.
 :P  :P  :P


Deberian enseñar como burlar un router o un firewall fisico...
[size=109]LOS GATOS SIEMPRE CAEMOS DE PIE !!![/size]