• Inicio

Dos actualizaciones críticas para Firefox 2.x y 3.x

Dosactualizaciones críticas han sido anunciadas por Mozilla para Firefox 2.x y elnuevo 3.x, así como para otros productos. Sin embargo, no están disponiblespara todos ellos a pesar del anuncio. Una tercera actualización es solo parausuarios de Mac OS, y únicamente afecta a Firefox 3.0.

Uno de los avisos de seguridad, alude a un error detectado a través del ZeroDay Initiative (ZDI), un emprendimiento de TippingPoint, empresa pertenecientea 3Com, que premia a quienes encuentren vulnerabilidades en programas de usohabitual, siempre que se ceda en exclusiva los detalles de dichavulnerabilidad. Estos fallos no son hechos públicos hasta que la empresainvolucrada los corrige.

El problema parece ser un desbordamiento de stack (stack overflow) al manejarseestructuras de hojas de estilo. La pila (stack), es el espacio de memoriareservada para almacenar las direcciones de retorno en la ejecución de cadarutina y otra información importante para la ejecución de los programas. Unfallo de este tipo, puede ser utilizado para la ejecución arbitraria de códigono deseado.

Se dice que el problema ha sido solucionado en Firefox 3.0.1, Firefox 2.0.0.16,Thunderbird 2.0.0.16 y SeaMonkey 1.1.11.

El segundo aviso, describe una serie de vulnerabilidades relacionadas con elmanejo de los URIs que afectan a Firefox 2 y Firefox 3.

URI (Uniform Resource Identifier o Identificador Universal de Recursos), es lasecuencia de caracteres que identifica cualquier recurso (servicio, página,documento, dirección de correo electrónico, etc.) accesible en una red. Constade dos partes, el identificador del método de acceso o protocolo (http:, ftp:,mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). UnURL (Uniform Resource Locators), es un URI que muestra la localizaciónexplícita de un recurso (página, imagen, etc.).

El problema en este caso, puede permitir a un atacante eludir el control de losarchivos chrome utilizados en Firefox y otros productos de Mozilla. Este tipode archivo contiene todos los componentes de la interfase de usuario que seencuentran fuera del contenido del área de la ventana, es decir barras deherramientas, menús, barras de progreso y títulos de las ventanas, y estácreado en XUL, un lenguaje XML creado para facilitar y acelerar el desarrollodel navegador Mozilla.

Algunos de estos problemas, están relacionados con la famosa vulnerabilidad deSafari conocida como "Carpet Bombing". Es decir, si un usuario tieneinstalado Safari y Firefox en el mismo equipo, ello puede ser utilizado para unataque.

La actualización resuelve el problema en Firefox 2.0.0.16 y 3.0.1.

Los detalles de los errores no serán revelados hasta dentro de unos días, paradarle a los usuarios la oportunidad de actualizarse. Sin embargo, no son pocoslo que se quejan que algunos de los productos anunciados como no vulnerables,aún no están disponibles. Por ejemplo, al momento de publicar esta alerta,algunos usuarios de Firefox 3.0 no tienen habilitada la opción paraactualizarse a la versión 3.0.0.1 de forma automática, y deben hacerlomanualmente.

Peor están quienes utilizan Thunderbird, ya que aún no pueden acceder a laversión 2.0.0.16 (de hecho, la última versión es la 2.0.0.14).

Fuente: http://www.vsantivirus.com/firefox-20016-301.htm

Si te gustó esta entrada anímate a escribir un comentario o suscribirte al feed y obtener los artículos futuros en tu lector de feeds.

Trinidad Servicios Informaticos es una comunidad sin fines de lucro. Los contenidos de este sitio son propiedad de quien los haya enviado y se encuentran bajo las licencias seleccionadas por sus autores. Si el autor no ha hecho constar expresamente otra licencia en su firma, están licenciados bajo una Licencia Creative Commons Atribución-No Comercial 2.5 Argentina. Los textos y fotografías que se publican cómo citas o cómo muestra están protegidos por sus propias licencias.

• Inicio