Firefox 2.0.0.7 protege contra ataque vía QuickTime
Por Angela Ruiz
[email protected]
Mozilla publicó la versión 2.0.0.7 de Firefox, la cuál protege al usuario contra la vulnerabilidad que permite la ejecución de código malicioso a través de Firefox utilizando el plugin para QuickTime.
QuickTime permite la reproducción de videos y otros archivos
multimedia. Entre sus características, se encuentra la
utilización de formatos de metadata (pequeños archivos que
hacen referencia al verdadero archivo multimedia), para
lograr acciones como la reproducción automática.
Una vulnerabilidad en la implementación de este formato,
permite utilizar Firefox para la ejecución arbitraria de
código. Un atacante que explote esto con éxito, podría llegar
a tomar el control total del sistema.
La vulnerabilidad que permite esto en QuickTime, está
descripta en CVE-2006-4965, y ya tiene una corrección de
parte de Apple (en QuickTime 7.1.5). Sin embargo dicha
actualización no previene el problema con Firefox.
Firefox 2.0.0.5 intentaba impedir este tipo de ataque, pero debido a la forma en que QuickTime utiliza el navegador, dicha protección podía ser eludida.
La actualización a Firefox 2.0.0.7 soluciona el problema, previniendo eventualmente esta clase de ataque.
* Última versión NO vulnerable:
- Firefox 2.0.0.7
* Descarga de Firefox 2.0.0.7 en español:
http://www.mozilla-europe.org/es/products/firefox/
* Referencias:
MFSA 2007-28 Code execution via QuickTime Media-link files
http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
http://www.mozilla.org/security/announce/2007/mfsa2007-23.html
* Referencias CVE:
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4965
* Relacionados:
Ejecución de código vía Firefox y QuickTime plugin
http://www.vsantivirus.com/vul-quicktime-firefox-120907.htm
* Más información:
Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html
Mozilla.org Security Center
www.mozilla.org/security/
Fuente: http://www.vsantivirus.com/firefox-160907.htm
[email protected]
Mozilla publicó la versión 2.0.0.7 de Firefox, la cuál protege al usuario contra la vulnerabilidad que permite la ejecución de código malicioso a través de Firefox utilizando el plugin para QuickTime.
QuickTime permite la reproducción de videos y otros archivos
multimedia. Entre sus características, se encuentra la
utilización de formatos de metadata (pequeños archivos que
hacen referencia al verdadero archivo multimedia), para
lograr acciones como la reproducción automática.
Una vulnerabilidad en la implementación de este formato,
permite utilizar Firefox para la ejecución arbitraria de
código. Un atacante que explote esto con éxito, podría llegar
a tomar el control total del sistema.
La vulnerabilidad que permite esto en QuickTime, está
descripta en CVE-2006-4965, y ya tiene una corrección de
parte de Apple (en QuickTime 7.1.5). Sin embargo dicha
actualización no previene el problema con Firefox.
Firefox 2.0.0.5 intentaba impedir este tipo de ataque, pero debido a la forma en que QuickTime utiliza el navegador, dicha protección podía ser eludida.
La actualización a Firefox 2.0.0.7 soluciona el problema, previniendo eventualmente esta clase de ataque.
* Última versión NO vulnerable:
- Firefox 2.0.0.7
* Descarga de Firefox 2.0.0.7 en español:
http://www.mozilla-europe.org/es/products/firefox/
* Referencias:
MFSA 2007-28 Code execution via QuickTime Media-link files
http://www.mozilla.org/security/announce/2007/mfsa2007-28.html
MFSA 2007-23 Remote code execution by launching Firefox from Internet Explorer
http://www.mozilla.org/security/announce/2007/mfsa2007-23.html
* Referencias CVE:
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-4965
* Relacionados:
Ejecución de código vía Firefox y QuickTime plugin
http://www.vsantivirus.com/vul-quicktime-firefox-120907.htm
* Más información:
Known Vulnerabilities in Mozilla Products
www.mozilla.org/projects/security/known-vulnerabilities.html
Mozilla.org Security Center
www.mozilla.org/security/
Fuente: http://www.vsantivirus.com/firefox-160907.htm
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!