Informática en general > Vulnerabilidades

 0 Day En Mozilla Firefox

(1/4) > >>

RadicalEd:
Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la
ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses.

Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. Parece que no se han publicado (al menos en línea) más detalles técnicos sobre el problema, pero la revelación de los descubridores ha llamado la atención de los
medios. En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha protagonizado muchas de las vulnerabilidades del navegador hasta la fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su implementación en Firefox de "un completo desorden" y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. "Es imposible de parchear", afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación. Adelantó que están investigando el fallo, y que si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que "Internet Explorer, como todo el mundo sabe, no es muy seguro, pero Firefox también es bastante inseguro", avivando así una estéril discusión entre navegadores, ya bastante gastada tras, por ejemplo, el último informe de Symantec. En él, publicado a finales de septiembre, Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde enero a junio de 2006. Del informe se desprendía que Internet Explorer era el navegador más atacado, pero que Mozilla Firefox sufría más vulnerabilidades. También, que Internet Explorer era el que mantenía a sus usuarios desprotegidos durante más tiempo. Este informe hizo que (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de las cifras absolutas, y se condenasen los métodos de actualizaciones de Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio de Hispasec, se viene observando desde hace tiempo cómo los troyanos tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar su nombre en el código del malware destinado al robo de credenciales, si bien no se suelen utilizar sus vulnerabilidades como medio de infección... pero esto puede cambiar con el tiempo y su creciente
popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no garantiza un mayor grado de seguridad que si se utiliza Internet Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una falsa sensación de seguridad y por ello se dejan de tomar las medidas de seguridad adecuadas que resultan imprescindibles para usar de forma responsable cualquier programa. Esto debe ir más allá de su (subjetiva y etérea) fama de seguro o inseguro.

Más Información:

Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20282/discuss

0day vulnerabilities in Firefox, with source
http://blogs.securiteam.com/index.php/archives/657

Hackers claim zero-day flaw in Firefox
http://news.zdnet.com/2100-1009-6121608.html

Some Sobering Security Stats
http://blog.washingtonpost.com/securityfix...ure%20Watch.pdf

JuanK:
Mas de la noticia en:

--- Cita de: "revistaEnter" ---Octubre 3 de 2006
Denuncian fallo grave de seguridad en el navegador Firefox

Este le permitiría a un delincuente operar remotamente el PC afectado a través del navegador. No hay parche o solución a la vista.

Firefox

En una reunión sobre seguridad informática, que se realiza en San Diego, E.U., los hackers Mischa Spiegemolck y Andrew Wbeelsoi anunciaron un descubrimiento sobre un fallo grave de seguridad en el navegador gratuito Firefox.

Dicho fallo, dicen los expertos reunidos en el foro Toorcon, le permitiría a un delincuente informático apropiarse de un computador, sin importar el sistema operativo (Windows, Linux o Mac), a través del navegador Firefox y ejecutar código malicioso de manera remota.

El fallo sucede a través del sistema Java Script del navegador, el cual se usa para ejecutar aplicaciones dentro del programa relacionadas con el despliegue de información gráficaen ciertos sitios web.

Según un informe del diario El País de España, en los seis primeros meses de este año se han detectado 38 fallos de seguridad en el navegador Internet Explorer, mientras que en Firefox se han hallado 47.

Para el fallo anunciado por los hackers no hay una solución o parche. Ambos coincidieron en afirmar que conocen otras 30 fallas de seguridad en Firefox, sin parche, pero que no piensan revelarlas por el momento.

Firefox es un navegador gratuito hecho por una comunidad de personas en todo elmundo agrupadas en una entidad llamada Fundación Mozilla, que hace otro tipo de aplicaciones bajo el modelo de código libre o abierto, para que los programas puedan ser mejorados por otras personas de manera libre.

En ocasiones anteriores, expertos de seguridad, dice el informe del diario El País de España, han criticado duramente a la Fundación Mozilla por demorarse demasiado a la hora de liberar parches que corrijan los errores de seguridad de sus programas.

--- Fin de la cita ---

Como? pero es software libre!!! que raro y tambien falla en linux!!!que raro!!! pero si linux y el software libre son invensibles!!!  :blink:  

Como me gustaria que los amigos del  hacker.net vieran esto...  :whistling:  pero desde la empresa no puedo entrar a esa pagina  :angry:

su -:
Invensibles je, je, je de hecho es mas factible que sean mas vulnerables que los otros, pero una en muchas...  :whistling:
Aun asi si nunca me gusto Firefox y nunca me gustara, es una porqueria (no tanto como IE 6, no se el 7 pero el 6 arrghhh) en fin, entonces si estoy en AIX, OpenSolaris, Solaris, SunOS, Tru64, HP-UX, OS*, *BSD, BeOS/Zeta|Haiuko no me pueden tocar, ja, ja  :P

x.cyclop:

--- Cita de: "JuanK" --- Como me gustaria que los amigos del  hacker.net vieran esto...  :whistling:  pero desde la empresa no puedo entrar a esa pagina  :angry:
--- Fin de la cita ---
¿Porqué no puedes entrar? :huh:

Te responderían así:
http://foro.elhacker.net/index.php/topic,1....html#msg669253

 :whistling:

Enko:

--- Cita de: "X.Cyclop" --- ¿Porqué no puedes entrar? :huh:
--- Fin de la cita ---
si mal no recuerdo, a JuanK en el trabajo le bloqueban págians que en la direccion tengan siertas palabras como: juges, vgames, messenger, etc...

Navegación

[0] Índice de Mensajes

[#] Página Siguiente