Resultados 1 al 3 de 3

Tema: Firefox y Opera, vulnerables a fuga de información

  1. #1 Firefox y Opera, vulnerables a fuga de información 
    HH Administrator Avatar de LUK
    Fecha de ingreso
    Oct 2001
    Ubicación
    SpaÑa
    Mensajes
    5.028
    Descargas
    179
    Uploads
    246
    Opera y Firefox contienen código vulnerable para el manejo de archivos BMP. El problema permite que un atacante genere un archivo en este formato, modificado para obtener datos de la memoria utilizada por estos navegadores. Esta información puede ser enviada a un servidor remoto.

    El formato BMP utiliza un campo llamado "biClrUsed", que especifica la cantidad de colores que contiene la paleta. Un error en el manejo de esta información, hace que ambos navegadores puedan ser engañados, de tal modo que fallan en la asignación correcta de la memoria. Como resultado, cierta información puede ser copiada en la pantalla en forma de píxeles.

    Un atacante puede obtener esta información y acceder a partes de otros sitios web, a los favoritos, al historial de navegación del usuario, y a otro tipo de datos.

    Firefox 2.0.0.11 puede llegar a bloquearse cuando se utiliza esta vulnerabilidad, si los límites de la memoria asignada al programa son sobrepasados con los datos de la paleta de la imagen modificada, de tal modo que es posible un ataque remoto de denegación de servicio.

    Existe un video de demostración de la vulnerabilidad en los siguientes sitios:

    http://blog.hispasec.com/lab/236
    http://vexillium.org/?sec-ff

    Son vulnerables las versiones de Firefox anteriores a la 2.0.0.12, y Opera 9.50 beta.

    No son afectados Opera 9.24 y 9.25, ni Firefox 2.0.0.12.

    Firefox fue recientemente publicado, por lo que los usuarios que no lo hayan hecho, deben actualizarse a la brevedad.

    También está disponible para descarga la versión 9.25 de Opera. Se aconseja desinstalar la versión 9.50 beta.

    Otros navegadores (como Apple Safari), también contienen el mismo componente vulnerable, pero no es posible un ataque igual al descrito para Firefox y Opera. Sin embargo, Safari posee un problema muy similar, pero con ciertos archivos GIF.


    Referencias:

    FireFox 2.0.0.11 and Opera 9.50 beta Remote Memory Information Leak
    http://blog.hispasec.com/lab/236

    SECURITY / FireFox 2.0.0.11 and Opera 9.50 beta Remote Memory Information Leak
    http://vexillium.org/?sec-ff


    Créditos:
    gynvael.coldwind//vx / Hispasec / Team Vexillium

    Por Redacción VSAntivirus
    [][][] LUK [][][]
    hackhispano.com
    Citar  
     

  2. #2  
    Iniciado
    Fecha de ingreso
    Mar 2007
    Ubicación
    cadiz
    Mensajes
    27
    Descargas
    0
    Uploads
    0
    Vulnerabilidad en Firefox permite los ataques Cross-Site Scripting

    FirefoxHa sido descubierto un fallo de seguridad en Firefox que se aprovecha de una vulnerabilidad del protocolo jar: que fue detectada hace meses pero que todavía no ha sido corregida en ninguna de las actualizaciones de seguridad que se han liberado desde entonces.

    Quienes utilizamos este navegador somos ahora vulnerables a los ataques 'Cross-Site Scripting' o XSS, que afectan a los sitios y aplicaciones web que permiten a sus usuarios subir ficheros para que el resto de la comunidad pueda verlos y/o utilizarlos. El exploit ya ha sido usado para crear un método con el que se pueden conseguir los contactos almacenados en una cuenta de correo de GMail.

    ¿Qué medidas de seguridad tomar hasta que la Fundación Mozilla resuelva esta vulnerabilidad? Probablemente, la mejor sea hacer uso de la extensión NoScript, que sólo permite que se ejecute el JavaScript presente en las páginas que nosotros le indiquemos. Eso o ir con cuidado y no entrar a según qué webs
    Lo malo de la ignorancia es no poner remedio
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    May 2008
    Mensajes
    4
    Descargas
    15
    Uploads
    0
    gracia x k jo utilizo firfox ja k m va mejor
    ai alguna forma d repar-lo?
    gracias
    si la union hace la fuerza, un grupo de hackers unidos es invencible..
    Citar  
     

Temas similares

  1. Fuga de información en Symfony 2
    Por smaug_ en el foro GENERAL
    Respuestas: 0
    Último mensaje: 06-02-2016, 00:19
  2. Fuga de información en las empresas (Webinar ESET)
    Por clarinetista en el foro FORMACION
    Respuestas: 0
    Último mensaje: 18-07-2012, 04:07
  3. Respuestas: 2
    Último mensaje: 03-03-2008, 19:22
  4. Eluden proteccion antiphishing en Firefox y Opera
    Por 4v7n42 en el foro NOTICIAS
    Respuestas: 0
    Último mensaje: 18-02-2007, 21:56
  5. Respuestas: 13
    Último mensaje: 21-02-2004, 17:06

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •