Resultados 1 al 8 de 8

0 day en Mozilla Firefox

  1. #1 0 day en Mozilla Firefox 
    Avanzado
    Fecha de ingreso
    Mar 2006
    Ubicación
    en internet
    Mensajes
    441
    Descargas
    6
    Uploads
    0
    02/10/2006 - 0 day en Mozilla Firefox

    Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la
    ejecución de código remoto. No existe parche oficial y parece que se han
    revelado algunos detalles sobre la forma de aprovecharla, lo que lo
    convierte en un 0 day. Mozilla Firefox se une así a la "moda" que
    atosiga a Microsoft en los últimos meses.

    Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la
    conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que
    puede permitir a un atacante remoto ejecutar código arbitrario en el
    contexto del usuario que ejecutase la aplicación, independientemente del
    sistema operativo sobre el que se asiente. Parece que no se han
    publicado (al menos en línea) más detalles técnicos sobre el problema,
    pero la revelación de los descubridores ha llamado la atención de los
    medios. En cualquier caso, se debe ser cauto, y todavía desde algunos
    foros, se sospecha del verdadero alcance del problema.

    JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha
    protagonizado muchas de las vulnerabilidades del navegador hasta la
    fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su
    implementación en Firefox de "un completo desorden" y afirman conocer al
    menos 30 fallos más que pueden permitir vulnerar al navegador a través
    de desbordamientos de pila y JavaScript. "Es imposible de parchear",
    afirmaron.

    A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo
    demasiada gracia la revelación de la vulnerabilidad en público en una
    conferencia, sin que previamente se hubiesen puesto en contacto con el
    equipo de programación. Adelantó que están investigando el fallo, y que
    si afecta al intérprete, la solución puede llevar tiempo.

    Para terminar de sembrar la polémica, los descubridores afirmaron que
    "Internet Explorer, como todo el mundo sabe, no es muy seguro, pero
    Firefox también es bastante inseguro", avivando así una estéril
    discusión entre navegadores, ya bastante gastada tras, por ejemplo, el
    último informe de Symantec. En él, publicado a finales de septiembre,
    Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde
    enero a junio de 2006. Del informe se desprendía que Internet Explorer
    era el navegador más atacado, pero que Mozilla Firefox sufría más
    vulnerabilidades. También, que Internet Explorer era el que mantenía a
    sus usuarios desprotegidos durante más tiempo. Este informe hizo que
    (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de
    las cifras absolutas, y se condenasen los métodos de actualizaciones de
    Microsoft.

    Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio
    de Hispasec, se viene observando desde hace tiempo cómo los troyanos
    tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar
    su nombre en el código del malware destinado al robo de credenciales, si
    bien no se suelen utilizar sus vulnerabilidades como medio de
    infección... pero esto puede cambiar con el tiempo y su creciente
    popularidad.

    En definitiva, navegar con Firefox (o cualquier otro navegador) no
    garantiza un mayor grado de seguridad que si se utiliza Internet
    Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una
    falsa sensación de seguridad y por ello se dejan de tomar las medidas de
    seguridad adecuadas que resultan imprescindibles para usar de forma
    responsable cualquier programa. Esto debe ir más allá de su (subjetiva y
    etérea) fama de seguro o inseguro.
    Opina sobre esta noticia:
    http://www.hispasec.com/unaaldia/2900/comentar

    Más Información:

    Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability
    http://www.securityfocus.com/bid/20282/discuss

    0day vulnerabilities in Firefox, with source
    http://blogs.securiteam.com/index.php/archives/657

    Hackers claim zero-day flaw in Firefox
    http://news.zdnet.com/2100-1009-6121608.html

    Some Sobering Security Stats
    http://blog.washingtonpost.com/securityfix/ISTR%2010%20Trends%20and%20Future%20Watch.pdf
    Sergio de los Santos
    [email protected]
    Fuente:hispasec.com
    Es la hora de ponerse a estudiar!

    Constancia y Perseverancia ante todo!
    Citar  
     

  2. #2  
    Moderador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Never mind that
    Mensajes
    979
    Descargas
    6
    Uploads
    0
    Parece que no está tan claro el alcance de la vulnerabilidad

    http://kriptopolis.org/mozilla-investiga-el-ultimo-bug-de-firefox

    Mozilla investiga el último bug de Firefox

    Así acaba de reconocerlo Window Snyder en una nota, que traducimos a continuación:

    Cuando alguien asegura haber identificado una vulnerabilidad, la tratamos como real hasta que podamos verificar otra cosa. Comenzamos inmediatamente a investigar e intentar repararla. Así es como logramos sacar soluciones tan rápido.

    En Toorcon, este fin de semana, dos conferenciantes afirmaron haber encontrado vulnerabilidades en la máquina virtual de Javascript. Por supuesto nos tomamos eso muy en serio...

    Hasta ahora hemos podido reproducir un asunto de denegación de servicio basado en la información que dieron durante su charla. En algunos casos eso provoca un cuelgue debido a un error de fuera de memoria. En base a la información de que disponemos en estos momentos no hemos podido confirmar si un atacante puede ejecutar código. Continuamos investigando y les mantendremos al corriente.

    -Window Snyder
    Citar  
     

  3. #3  
    Avanzado
    Fecha de ingreso
    Jan 2003
    Ubicación
    Corrientes Argentina!!
    Mensajes
    261
    Descargas
    4
    Uploads
    0
    mmmmm que está pasando con Firefox, últimamente he visto mucha información sobre bugs en seste navegador, es una estrategia de la "competencia"? o realmente se están ocupando demasiado en mejorar ciertos aspectos ahora que se hace cada vez mas popular, y están dejando de lado la seguridad?
    Citar  
     

  4. #4  
    Avanzado
    Fecha de ingreso
    Jun 2006
    Mensajes
    538
    Descargas
    3
    Uploads
    0
    Citar  
     

  5. #5  
    Moderador HH
    Fecha de ingreso
    Dec 2001
    Ubicación
    Galiza
    Mensajes
    3.129
    Descargas
    0
    Uploads
    0
    No se si broma o no, pero todo software tiene fallos y a mi, personalmente eso no me importa, lo que no quiero es que la empresa responsable lo sepa y pase de todo. Si Firefox tiene fallos (seguro que si, y más de los que se han descubierto), que los reconozcan, solucionen y punto. Es un punto a favor, no una desventaja, desde mi punto de vista.
    Las ideas son como las pulgas, saltan de unos a otros pero no pican a todos... (George Bernard Shaw)
    Citar  
     

  6. #6  
    Avanzado
    Fecha de ingreso
    Jun 2006
    Mensajes
    538
    Descargas
    3
    Uploads
    0
    No hay duda que Firefox tiene fallos, y los que tendrá que todavia no se saben, no hay que confundir el software libre, con la seguridad. Son dos conceptos que no tienen nada que ver.

    Que cada uno tire para donde le parezca, yo me quedo con el software libre (ya que ninguno se va a librar de los fallos de seguridad)

    Salu2
    Citar  
     

  7. #7  
    Moderador HH
    Fecha de ingreso
    Jun 2006
    Ubicación
    Never mind that
    Mensajes
    979
    Descargas
    6
    Uploads
    0
    Claro que Firefox tiene fallos, como todos, la diferencia es que unos se afanan en corregir esos fallos y otros no lo hacen.
    En este video [ame="http://www.youtube.com/watch?v=3atmWmWCwlw"]Spyware Rubbernecking - YouTube[/ame] se puede ver como funciona a día de hoy el principal competidor de Firefox, yo sigo con el zorro, además parece que se confirma que la vulnerabilidad encontrada es un bulo. Saludos
    Citar  
     

  8. #8  
    Avanzado
    Fecha de ingreso
    Mar 2006
    Ubicación
    en internet
    Mensajes
    441
    Descargas
    6
    Uploads
    0
    mmmmm que está pasando con Firefox, últimamente he visto mucha información sobre bugs en seste navegador, es una estrategia de la "competencia"? o realmente se están ocupando demasiado en mejorar ciertos aspectos ahora que se hace cada vez mas popular, y están dejando de lado la seguridad?
    es normal que quanto mas popular se haga más bugs se encuentren...es como si tu haces un programa casero y no se lo enseñas a nadies, no se encontrarà ningun bug aún que los tenga, pero si el mismo programa lo usa mucha gente seguro que le encuentran muchos bugs...
    y estoy completamente de acuerdo con SxR con lo de reconocerlo y rectificarlo, yo tambien me quedo con el zorro!
    Salu2
    Es la hora de ponerse a estudiar!

    Constancia y Perseverancia ante todo!
    Citar  
     

Temas similares

  1. Respuestas: 6
    Último mensaje: 20-06-2008, 20:20
  2. Mozilla confirma agujero en Firefox
    Por LUK en el foro NOTICIAS
    Respuestas: 1
    Último mensaje: 24-01-2008, 16:11
  3. Acelerar Mozilla Firefox
    Por mystery-man en el foro APLICACIONES
    Respuestas: 3
    Último mensaje: 10-10-2005, 13:15
  4. Duda sobre el Mozilla Firefox
    Por Lagarto #2 en el foro APLICACIONES
    Respuestas: 5
    Último mensaje: 20-01-2005, 13:59
  5. Problema con el idioma en Mozilla Firefox v1.0
    Por Dwarft en el foro LINUX - MAC - OTROS
    Respuestas: 3
    Último mensaje: 27-12-2004, 14:45

Marcadores

Marcadores