Once boletines de seguridad para Mozilla Firefox

Noviembre 2, 2009

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.  A continuación se detallan las vulnerabilidades publicadas:

El primero de los problemas reside en un error en la forma en la que Firefox maneja el historial de formularios. Esta vulnerabilidad podría permitir a un atacante remoto robar los datos guardados y hacer que el explorador rellene automáticamente los formularios a través de una página web especialmente manipulada.

Otro error se presenta en la forma en que Firefox nombra a los ficheros temporales de descarga. Un atacante local podría aprovechar este problema para ejecutar código arbitrario a través de un cambio del contenido de los ficheros temporales de descarga.

La creación recursiva de web-workers en JavaScript puede ser empleada para crear un conjunto de objetos cuya memoria puede ser liberada antes de su uso. Estas condiciones habitualmente producen una denegación de servicio, que potencialmente podrían permitir a un atacante la ejecución de código arbitrario.

Múltiples vulnerabilidades se deben a la forma en que Firefox procesa el contenido web incorrecto, un atacante remoto podría provocar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una página web especialmente manipulada.

Otro boletín trata un error en el procesador de imágenes GIF de Firefox que podría causar un desbordamiento de memoria basada en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen GIF especialmente manipulada.

Otro error corregido se presenta en las rutinas de conversión de cadena a coma flotante de Firefox, que podría provocar un desbordamiento de memoria basado en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos del usuario a través de una pagina web con código JavaScrip especialmente manipulado.

Otro boletín se refiere a un error en la forma en que Firefox maneja la selección de texto. Un atacante remoto podría aprovechar este problema para ver el texto seleccionado por el usuario desde un dominio diferente a través de un sitio web especialmente manipulado.

Un error se presenta en la forma en que Firefox muestra el nombre cuando se descarga un archivo, lo que permitiría mostrar nombres diferentes en la barra de título y en el cuerpo de dialogo. Un atacante remoto podría realizar un ataque de hombre en el medio y ejecutar código arbitrario a través de un fichero especialmente manipulado.

Mozilla también ha actualizado diversas librerías de terceras partes para corregir fallos en el tratamiento de la memoria y bugs de estabilidad.

Recomendamos actualizar a Mozilla Firefox versiones 3.5.4 o 3.0.15 :

http://www.mozilla.com/firefox/

fuente: hispasec.com

firefox_firetiritap

 

Deja un Comentario » | 14.Updates/ Releases | Etiquetado: , , | Permalink
Escrito por komz

MULTIPLES VULNERABILIDADES, que afectan a Mozilla Firefox

Octubre 30, 2009

 

fuente: securityfocus.com

firefox vs IE

Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , , , , | Permalink
Escrito por komz

Mozilla bloquea dos complementos de Microsoft para Firefox

Octubre 19, 2009

Mozilla ha desactivado dos ‘addons’ de Microsoft para Firefox que generan una vulnerabilidad que podría permitir a un atacante tomar el control del PC.

Mozilla está bloqueando el uso de dos complementos de Microsoft instalados sin que el usuario de se cuenta en ordenadores Windows con .NET Framework 3.5 Service Pack 1. Se trata de los componentes ‘Assitant’ de .NET Framework y ‘Presentation’ de Windows, que generan una vulnerabilidad que pueden utilizar los hackers contra los usuarios de Firefox.

Desde Mozilla han anunciado que debido a las dificultades de algunos usuarios para eliminar completamente el añadido, y debido a la gravedad del riesgo si no se hace, contactaron con Microsoft para avisarles de que estaban buscando la forma de deshabilitar la extensión a través del mecanismo de bloqueo de Firefox. Para que la vulnerabilidad generada se active es necesario que un usuario visite un site malicioso.

Esta no es la primera vez que Mozilla ha mostrado preocupación en torno a un plug-in de otro vendedor. A principios de este año la compañía decidió advertir a los usuarios que estuvieran utilizando una versión vulnerable de Adobe Flash Player

fuente: itespresso.es

plug in

Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , | Permalink
Escrito por komz

Nueva actualización de Firefox

Septiembre 11, 2009

Los desarrolladores de Firefox han publicado una nueva actualización de Firefox que solucionada varios fallos de seguridad, así como da más estabilidad al navegador.

Tres de las vulnerabilidad que resuelve está actualización han sido consideradas como críticas, mientras que la otra ha sido considerada como baja.

Una de las vulnerabilidades resuelta por los desarrolladores de Mozilla han sido varios bugs que provocaban corrupción de memoria en determinadas circunstancias, y que podría ser explotado para ejecutar código arbitrario.

Otro de las vulnerabilidad, la cual han llamado “TreeColumns dangling pointer vulnerability”, podría ser utilizado por un atacante para bloquear el navegador de la víctima y ejecutar código arbitrario.

Por otro lado también se ha solucionado una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios con FeedWriter, y que le permitiría ejecutar código JavaScript cundo el usuario lea un Rss.

Si tienes instalado Firefox 3.5 o Firefox 3 recibirás una notificación de actualización automática en un período de 24 a 48 horas, aunque si quieres descargar la actualización cuanto antes, puedes hacerlo desde la página de Firefox o bien mediante la actualización automática de Firefox que se puede encontrar en el menú Ayuda->Buscar actualizaciones.

REFERENCIA FIREFOX

fuente: websecurity.es

firefoxpatch1

Deja un Comentario » | 14.Updates/ Releases | Etiquetado: , , , | Permalink
Escrito por komz

VULNERABILIDAD. Nuevas variantes de vulnerabilidades que afectan a Mozilla Firefox

Julio 23, 2009

Mozilla Firefox and Thunderbird Remote Integer Overflow Vulnerability

Mozilla Firefox Flash Player Unloading Remote Code Execution Vulnerability

Mozilla Firefox and Thunderbird Multiple Remote Memory Corruption Vulnerabilities

Mozilla Firefox and Thunderbird RDF File Handling Remote Memory Corruption Vulnerability

Mozilla Firefox/Thunderbird Double Frame Construction Memory Corruption Vulnerabilities

Mozilla Firefox ’setTimeout()’ Remote Code Execution Vulnerability

Mozilla Firefox ‘watch()’ and ‘ __defineSetter__ ()’ Functions Remote Code Execution Vulnerability

Published:       Jul 21 2009
Updated:          Jul 22 2009

fuente: securityfocus.com

firefox

Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , | Permalink
Escrito por komz

VULNERABILIDAD. Nuevas variantes de vulnerabilidades que afectan a productos Mozilla Firefox

Mayo 13, 2009

Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -14 through -22 Multiple Remote Vulnerabilities

Mozilla Firefox ‘nsTextFrame::ClearTextRun()’ Remote Memory Corruption Vulnerability

Mozilla Firefox International Domain Name Subdomain URI Spoofing Vulnerability

Mozilla Firefox/Thunderbird/SeaMonkey MFSA 2009 -07 -08 -09 and -11 Multiple Remote Vulnerabilities

fuente: securityfocus.com

firefox

Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , , | Permalink
Escrito por komz

VULNERABILIDAD. Mozilla Firefox XSL Parsing ‘root’ XML Tag Remote Memory Corruption Vulnerability

Marzo 30, 2009

Mozilla Firefox is prone to a remote memory-corruption vulnerability.

An attacker can exploit this issue to execute arbitrary code within the context of the affected browser. Failed exploit attempt will result in a denial-of-service condition.

Versions prior to the following are vulnerable:

Firefox 3.0.8
SeaMonkey 1.1.16

Published:   Mar 25 2009 12:00AM
Updated:     Mar 29 2009 07:16PM

REFERENCIA DE LA VULNERABILIDAD

fuente: securityfocus.com

firefox_logo


Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , , | Permalink
Escrito por komz

VULNERABILIDAD. Multiples Vulnerabilidades en Mozilla Firefox/Thunderbird/SeaMonkey

Noviembre 26, 2008

Multiples vulnerabilidades encontradas para los entornos Mozilla Firefox/Thunderbird/SeaMonkey

fuente: securityfocus

Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities

Mozilla Firefox/Thunderbird/Seamokey Arbitrary Image Cross Domain Security Bypass Vulnerability


firefox2


Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , , | Permalink
Escrito por komz

VULNERABILIDAD. Mozilla Firefox/Thunderbird/SeaMonkey Multiple Remote Vulnerabilities

Noviembre 13, 2008

The Mozilla Foundation has released multiple security advisories specifying various vulnerabilities in Mozilla Firefox, Thunderbird and SeaMonkey.

Exploiting these issues can allow attackers to:

- steal authentication credentials
- obtain potentially sensitive information
- violate the same-origin policy
- execute scripts with elevated privileges
- cause denial-of-service conditions
- execute arbitrary code

Other attacks are also possible.

These issues are present in the following applications

- Mozilla Firefox 3.0.3 and prior
- Mozilla Firefox 2.0.0.17 and prior
- Mozilla Thunderbird: 2.0.0.17 and prior
- Mozilla SeaMonkey 1.1.13 and prior

fuente: securityfocus

REFERENCIA DE LA VULNERABILIDAD

firefox

Deja un Comentario » | 03.Vulnerabilidades | Etiquetado: , , , , | Permalink
Escrito por komz