NUEVAS VULNERABILIDADES, que afectan a Mozilla Firefox

Published: Mar 24 2010  | Updated: Mar 24 2010

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones
necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com



Mozilla libera Boletines de Seguridad.

La Fundacion Mozilla ha liberado multiples boletines de seguridad para corregir vulnerabildiades en sus productos Mozilla Firefox, Thunderbird y SeaMonkey. Explotar estas vulnerabilidades de forma remota podria permitir a un atacante no autorizado ejecutar codigo arbitraio o saltarse las restricciones de seguridad

Ultimas VULNERABILIDADES

MOZILLA FOUNDATION SECURITY ADVISORIES

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: us-cert.gov | mozilla.org

– > OPINA SOBRE ESTE ARTICULO EN EL NUEVO FORO-CHAT <—

NUEVAS VULNERABILIDADES, que afectan a Mozilla Firefox y SeaMonkey

ACTUALIZA A LA ULTIMA VERSION DE FIREFOX 3.6

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com

– > OPINA SOBRE ESTE ARTICULO EN EL NUEVO FORO-CHAT <—

Once boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.  A continuación se detallan las vulnerabilidades publicadas:

El primero de los problemas reside en un error en la forma en la que Firefox maneja el historial de formularios. Esta vulnerabilidad podría permitir a un atacante remoto robar los datos guardados y hacer que el explorador rellene automáticamente los formularios a través de una página web especialmente manipulada.

Otro error se presenta en la forma en que Firefox nombra a los ficheros temporales de descarga. Un atacante local podría aprovechar este problema para ejecutar código arbitrario a través de un cambio del contenido de los ficheros temporales de descarga.

La creación recursiva de web-workers en JavaScript puede ser empleada para crear un conjunto de objetos cuya memoria puede ser liberada antes de su uso. Estas condiciones habitualmente producen una denegación de servicio, que potencialmente podrían permitir a un atacante la ejecución de código arbitrario.

Múltiples vulnerabilidades se deben a la forma en que Firefox procesa el contenido web incorrecto, un atacante remoto podría provocar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una página web especialmente manipulada.

Otro boletín trata un error en el procesador de imágenes GIF de Firefox que podría causar un desbordamiento de memoria basada en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen GIF especialmente manipulada.

Otro error corregido se presenta en las rutinas de conversión de cadena a coma flotante de Firefox, que podría provocar un desbordamiento de memoria basado en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos del usuario a través de una pagina web con código JavaScrip especialmente manipulado.

Otro boletín se refiere a un error en la forma en que Firefox maneja la selección de texto. Un atacante remoto podría aprovechar este problema para ver el texto seleccionado por el usuario desde un dominio diferente a través de un sitio web especialmente manipulado.

Un error se presenta en la forma en que Firefox muestra el nombre cuando se descarga un archivo, lo que permitiría mostrar nombres diferentes en la barra de título y en el cuerpo de dialogo. Un atacante remoto podría realizar un ataque de hombre en el medio y ejecutar código arbitrario a través de un fichero especialmente manipulado.

Mozilla también ha actualizado diversas librerías de terceras partes para corregir fallos en el tratamiento de la memoria y bugs de estabilidad.

Recomendamos actualizar a Mozilla Firefox versiones 3.5.4 o 3.0.15 :

http://www.mozilla.com/firefox/

fuente: hispasec.com

firefox_firetiritap

 

MULTIPLES VULNERABILIDADES, que afectan a Mozilla Firefox

 

fuente: securityfocus.com

firefox vs IE

Mozilla bloquea dos complementos de Microsoft para Firefox

Mozilla ha desactivado dos ‘addons’ de Microsoft para Firefox que generan una vulnerabilidad que podría permitir a un atacante tomar el control del PC.

Mozilla está bloqueando el uso de dos complementos de Microsoft instalados sin que el usuario de se cuenta en ordenadores Windows con .NET Framework 3.5 Service Pack 1. Se trata de los componentes ‘Assitant’ de .NET Framework y ‘Presentation’ de Windows, que generan una vulnerabilidad que pueden utilizar los hackers contra los usuarios de Firefox.

Desde Mozilla han anunciado que debido a las dificultades de algunos usuarios para eliminar completamente el añadido, y debido a la gravedad del riesgo si no se hace, contactaron con Microsoft para avisarles de que estaban buscando la forma de deshabilitar la extensión a través del mecanismo de bloqueo de Firefox. Para que la vulnerabilidad generada se active es necesario que un usuario visite un site malicioso.

Esta no es la primera vez que Mozilla ha mostrado preocupación en torno a un plug-in de otro vendedor. A principios de este año la compañía decidió advertir a los usuarios que estuvieran utilizando una versión vulnerable de Adobe Flash Player

fuente: itespresso.es

plug in

Nueva actualización de Firefox

Los desarrolladores de Firefox han publicado una nueva actualización de Firefox que solucionada varios fallos de seguridad, así como da más estabilidad al navegador.

Tres de las vulnerabilidad que resuelve está actualización han sido consideradas como críticas, mientras que la otra ha sido considerada como baja.

Una de las vulnerabilidades resuelta por los desarrolladores de Mozilla han sido varios bugs que provocaban corrupción de memoria en determinadas circunstancias, y que podría ser explotado para ejecutar código arbitrario.

Otro de las vulnerabilidad, la cual han llamado “TreeColumns dangling pointer vulnerability”, podría ser utilizado por un atacante para bloquear el navegador de la víctima y ejecutar código arbitrario.

Por otro lado también se ha solucionado una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios con FeedWriter, y que le permitiría ejecutar código JavaScript cundo el usuario lea un Rss.

Si tienes instalado Firefox 3.5 o Firefox 3 recibirás una notificación de actualización automática en un período de 24 a 48 horas, aunque si quieres descargar la actualización cuanto antes, puedes hacerlo desde la página de Firefox o bien mediante la actualización automática de Firefox que se puede encontrar en el menú Ayuda->Buscar actualizaciones.

REFERENCIA FIREFOX

fuente: websecurity.es

firefoxpatch1