Mozilla detecta plug-ins inseguros para IE, Chrome y Safari

Mozilla ha lanzado un servicio que comprueba los plug-ins para los navegadores Internet Explorer, Chrome, Opera y Safari para asegurarse de que no incorporan fallos conocidos o vulnerabilidades de seguridad.

El servicio se basa en una característica lanzada el año pasado y que sólo comprobaba que los plug-ins para Firefox estuvieran actualizados. Por el momento se ofrece una cobertura limitada para las extensiones de Internet Explorer, pero Mozilla planea ofrecer un servicio completo.

Desde la fundación creen que la seguridad de los plug-ins es un tema pendiente para la web y que por eso, aunque inicialmente los esfuerzos se centraron en crear una página que funcionara con los usuarios de Firefox, “el equipo ha extendido la comprobación de plug-ins a Safari 4, Chrome 4 y Opera 10.5”.

El control está diseñado para advertir a los usuarios de que están utilizando versiones desactualizadas de Adobe Flash, Oracle Java Virtual Machine, u otros tipos de programas que trabajan de cerca con los navegadores. De hecho, sólo unas semanas después de lanzarse el servicio de comprobación para Flash se descubrió que más de la mitad de los navegadores Firefox estaban ejecutando una versión insegura del programa de Adobe.

fuente: itespresso.es


Explorer es más seguro que Chrome o Firefox

NSS Labs acaba de dar a conocer los resultados de su informe sobre la seguridad de los navegadores. ¿La principal conclusión? Internet Explorer es mucho más seguro que Chrome, Firefox, Opera y Safari.

NSS Labs ha realizado un estudio en el que analiza la seguridad de los principales navegadores del mercado. Así, la firma destaca de Google Chrome, por ejemplo, “las pocas opciones de configuración que ofrece para los usuarios empresariales, dejando poca o ninguna posibilidad de configuración de seguridad” Además, el informe también destaca que Google Chrome “no permite configurar las opciones de JavaScript, no admite diferentes zonas de seguridad, ni es administrable en remoto por un Active Directory. Saca una nueva versión cada poco tiempo, haciendo difícil la construcción de aplicaciones empresariales sobre ella.. Tiene pocos plug-ins pero, como rasgo positivo en seguridad, no existe mucho malware especialmente diseñado para él, salvo el basado directamente en ataques XSS”.

En lo que respecta a Firefox, el estudio resalta que “el número de vulnerabilidades que muestra durante este año duplica a las de cualquier navegador, lo que obliga a la generación de un gran número de parches que deben ser aplicados con diligencia, ya que la que mayoría son de nivel crítico. Firefox tiene una arquitectura que no saca provecho de las ventajas arquitectónicas que ofrecen los sistemas operativos Windows Vista y Windows 7. Como rasgo positivo hay que destacar que todas las vulnerabilidades son parcheadas aunque ha sufrido bastantes críticas sobre cómo se realiza este proceso debido al gran número de fallos de regresión que generan y que resultan en nuevas vulnerabilidades”.

El navegador de Opera, a pesar de que no se han encontrado muchas vulnerabilidades, “presenta muy pocas opciones empresariales de administración y configuración. No tiene filtro Anti XSS ni en el propio código ni como plug-in añadido y sus opciones de seguridad son las menos robustas en esta área. Tampoco hace uso de arquitecturas modulares ni saca provecho de las tecnologías MIC y UIPI en Windows Vista y Windows 7”.

En cuanto al Apple Safari, el estudio afirma que “este navegador no viene pensado para ser administrado de forma centralizada en una empresa con lo que no tiene buenas herramientas”, aunque “sí que existe mucho interés en la industria de la seguridad con este navegador, haciendo que sus vulnerabilidades sean altas dejando bastante sin parchear”.

Internet Explorer 8, el más seguro

Por último, NSS Labs afirma que a pesar de la cantidad de vulnerabilidades que se han encontrado para Internet Explorer 8, “ha demostrado tener las mejores medidas de seguridad aplicadas para fortificar la solución, desde las técnicas de engaño a usuarios, las protecciones Anti XSS, las opciones de fortificación en tecnologías Windows Vista y Windows 7 y, por supuesto, las mejores herramientas de configuración y ajuste de la seguridad, tales como las zonas de seguridad, las listas de permisos en componentes ActiveX por sitio y por usuario, la posibilidad de administrar de forma centralizada da, a los administradores, herramientas eficientes para fortificar sus implantaciones”. No obstante, no todo es positivo, ya que “Internet Explorer, al igual que Firefox, está hoy en día en el punto de mira de la industria del malware y los buscadores de vulnerabilidades”, finaliza el estudio.

DESCARGAR REPORTE

fuente: csospain.es


iPhone, Safari, IE8 y Firefox sucumben en el primer día de Pwn2Own

Los hackers han logrado derribar a iPhone y al navegador Safari de Apple, Internet Explorer 8 (IE8) de Microsoft y Firefox de Mozilla en tan sólo unos minutos en el concurso de seguridad Pwn2Own. Sólo Chrome consiguió “sobrevivir” al primer día del encuentro.

Un equipo formado por Vicenzo Iozzo y Ralf-Philipp Weinmann consiguió acabar con iPhone en unos cinco minutos, según ha informado un portavoz de 3Com TippingPoint, la compañía de seguridad que patrocina el concurso Pwn2Own. Estos dos hombres fueron además los ganadores de un premio de 15.000 dólares en efectivo.

Por lo que respecta a Safari, fue derribado por Charlie Miller, analista de la firma Independent Security Evaluators, quien ha recibido 10.000 dólares en efectivo como reconocimiento. Miller ganó además dos premios en 2008 y 2009 por hackear un Mac. En 2009 consiguió acabar con Safari en 10 segundos. Ningún otro experto ha conseguido ganar tres veces el concurso Pwn2Own.

IE8 corriendo sobre Windows 7 ha sido vencido por Peter Vreugdenhil con un código de ataque basado en puentear el sistema Data Execution Prevention (DEP) del sistema operativo de Microsoft. Finalmente, un estudiante alemán consiguió abatir Firefox sobre Windows 7.

TippingPoint no revela detalles de las vulnerabilidades explotadas en Pwn2Own y compra los derechos sobre los fallos y códigos de explotación como parte del concurso. Después hace llegar tal información a los fabricantes afectados, y, sólo una vez han sido parcheadas las vulnerabilidades, descubre los detalles al respecto.

blog http://dvlabs.tippingpoint.com/blog/2010/02/15/pwn2own-2010

fuente: csospain.es


Variantes en Vulneribilidades que afectan a Mozilla Firefox

fuente: securityfocus.com


Mozilla Firefox 3.6 Beta 2 soluciona más de 190 fallos

La segunda beta de la próxima versión del navegador de Mozilla se ha lanzado apenas dos semanas después de Firefox 3.6 Beta 1.

Firefox 3.6 Beta 2, la próxima versión del navegador de Mozilla llega menos de dos semanas después que la primera beta solucionando cerca de 190 fallos. Actualmente Mozilla tiene una cuota cercana al 25% en el mercado de navegadores, colocándose en segunda posición por detrás de Microsoft Internet Explorer, con una cuota de mercado del 63,26%, y por delante de Apple, que tiene una cuota del 4,39%. Mozilla lanzó la Beta 2 de Firefox 3.6 el pasado 11 de noviembre.

Firefox 3.6 ofrece una nueva serie de características como mejoras en la visualización de vídeo, o la función Personas, que esencialmente son ‘skins’ que se pueden aplicar al navegador para su personalización.

También se ha mejorado el rendimiento de JavaScript, además del tiempo de respuesta del navegador. Firefox 3.6 Beta 2, disponible desde este enlace, incluye un mecanismo para impedir que determinado software incompatible con el navegador lo afecte y llegue a cerrarlo.

Firefox acaba de cumplir cinco años y a pesar de los temores iniciales sobre su seguridad, sobre todo por su condición de software de código abierto, la comunidad de usuarios de Mozilla se ha movido rápidamente para parchear las vulnerabilidades del navegador. Incluso el pasado mes de noviembre Mozilla llegó a bloquear un par de ‘add-ons’ de Microsoft porque incluían vulnerabilidades que podrían afectar a los usuarios de Firefox.

Además de la nueva beta de Firefox Mozilla planea lanzar Thunderbird 3, la nueva versión de su cliente de correo electrónico, este mes.

MOZILLA ALL BETAS

fuente: itespresso.es

firefox

Once boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.  A continuación se detallan las vulnerabilidades publicadas:

El primero de los problemas reside en un error en la forma en la que Firefox maneja el historial de formularios. Esta vulnerabilidad podría permitir a un atacante remoto robar los datos guardados y hacer que el explorador rellene automáticamente los formularios a través de una página web especialmente manipulada.

Otro error se presenta en la forma en que Firefox nombra a los ficheros temporales de descarga. Un atacante local podría aprovechar este problema para ejecutar código arbitrario a través de un cambio del contenido de los ficheros temporales de descarga.

La creación recursiva de web-workers en JavaScript puede ser empleada para crear un conjunto de objetos cuya memoria puede ser liberada antes de su uso. Estas condiciones habitualmente producen una denegación de servicio, que potencialmente podrían permitir a un atacante la ejecución de código arbitrario.

Múltiples vulnerabilidades se deben a la forma en que Firefox procesa el contenido web incorrecto, un atacante remoto podría provocar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una página web especialmente manipulada.

Otro boletín trata un error en el procesador de imágenes GIF de Firefox que podría causar un desbordamiento de memoria basada en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen GIF especialmente manipulada.

Otro error corregido se presenta en las rutinas de conversión de cadena a coma flotante de Firefox, que podría provocar un desbordamiento de memoria basado en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos del usuario a través de una pagina web con código JavaScrip especialmente manipulado.

Otro boletín se refiere a un error en la forma en que Firefox maneja la selección de texto. Un atacante remoto podría aprovechar este problema para ver el texto seleccionado por el usuario desde un dominio diferente a través de un sitio web especialmente manipulado.

Un error se presenta en la forma en que Firefox muestra el nombre cuando se descarga un archivo, lo que permitiría mostrar nombres diferentes en la barra de título y en el cuerpo de dialogo. Un atacante remoto podría realizar un ataque de hombre en el medio y ejecutar código arbitrario a través de un fichero especialmente manipulado.

Mozilla también ha actualizado diversas librerías de terceras partes para corregir fallos en el tratamiento de la memoria y bugs de estabilidad.

Recomendamos actualizar a Mozilla Firefox versiones 3.5.4 o 3.0.15 :

http://www.mozilla.com/firefox/

fuente: hispasec.com

firefox_firetiritap

 

Nueva actualización de Firefox

Los desarrolladores de Firefox han publicado una nueva actualización de Firefox que solucionada varios fallos de seguridad, así como da más estabilidad al navegador.

Tres de las vulnerabilidad que resuelve está actualización han sido consideradas como críticas, mientras que la otra ha sido considerada como baja.

Una de las vulnerabilidades resuelta por los desarrolladores de Mozilla han sido varios bugs que provocaban corrupción de memoria en determinadas circunstancias, y que podría ser explotado para ejecutar código arbitrario.

Otro de las vulnerabilidad, la cual han llamado “TreeColumns dangling pointer vulnerability”, podría ser utilizado por un atacante para bloquear el navegador de la víctima y ejecutar código arbitrario.

Por otro lado también se ha solucionado una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios con FeedWriter, y que le permitiría ejecutar código JavaScript cundo el usuario lea un Rss.

Si tienes instalado Firefox 3.5 o Firefox 3 recibirás una notificación de actualización automática en un período de 24 a 48 horas, aunque si quieres descargar la actualización cuanto antes, puedes hacerlo desde la página de Firefox o bien mediante la actualización automática de Firefox que se puede encontrar en el menú Ayuda->Buscar actualizaciones.

REFERENCIA FIREFOX

fuente: websecurity.es

firefoxpatch1