Ejecución de código en Mozilla Firefox. No existe parche oficial disponible (actualizado)
Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Actualización 17/07/2009: ya existe la actualización Firefox 3.5.1.
Sergio de los Santos
[email protected]
Fuente: Hispasec
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Actualización 17/07/2009: ya existe la actualización Firefox 3.5.1.
Sergio de los Santos
[email protected]
Fuente: Hispasec
El parche si está diponible, ayer salió la version 3.5.1 que corrije el fallo.
ResponderBorrarHola Alberto:
ResponderBorrarEsta noticia es del 16/7...
Por supuesto que ya hay actualización que publicamos aquí mismo.
Cristian