Mozilla lanza la beta de Firefox 3.6.4 y deshabilita Java

Mozilla ha publicado la nueva versión beta de Firefox para Windows, Mac y Linux con la incorporación de un sistema que evita que los errores de los plugins afecten al navegador. Además, la compañía ha bloqueado la versión 6.0.200.2 del plugin “Java Deployment Toolkit” y sus versiones anteriores.

Esta nueva beta de Firefox será mucho más estable frente a errores en los plugins, o al menos eso es lo que promete el proyecto denominado internamente “Lorentz”, que según ha defendido Mozilla, protegerá al navegador de los posibles fallos originados en plugins como Adobe Flash, Apple Quicktime o Microsoft Silverlight. Gracias a este nuevo sistema, los usuarios podrán recargar la página y reiniciar el plugin donde se originó el fallo, todo ello sin que el navegador se “cuelgue”, según apunta la compañía.

No obstante, desde Mozilla han recordado que al tratarse de una versión beta, esperan recibir sugerencias y modificaciones por parte de la comunidad desarrolladora antes de lanzar, dentro de unas semanas, la versión final de Firefox 3.6.4.

Por otro lado, Mozilla ha deshabilitado de Firefox el plugin “Java Deployment Toolkit” y todas sus versiones anteriores a la 6.0.200.2, después de localizar una vulnerabilidad de seguridad en dicho software. Desde Oracle han anunciado que el error ya está solucionado; para ello, han publicado una nueva actualización, pero los desarrolladores de Mozilla no están tan seguros y siguen sin habilitar el plugin de Java en Firefox.

Frente a esta decisión de Mozilla, muchos usuarios se han quejado del cambio en la web Bugzilla, sobre todo los que tienen habilitado el sistema de actualización automática de la compañía que, en algunos casos considerados leves, se instalan sin pedir confirmación. No obstante, cualquier usuario que lo desee puede instalar libremente en Firefox la actualización de Java que, según defiende Oracle, debe solucionar estas vulnerabilidades.

fuente: csospain.es


Mozilla corrige la vulnerabilidad para Firefox presentada en el Pwm2Own 2010

Mozilla ha publicado una actualización de seguridad para el navegador Firefox que corrige una vulnerabilidad que podría permitir a un atacante remoto ejecutar código arbitrario.

La vulnerabilidad se publicó en el Pwm2Own, un concurso dentro del contexto de la conferencia de seguridad CanSecWest, donde se compite por ser el primero en explotar los principales navegadores y teléfonos móviles.

Un investigador alemán de MWR InfoSecurity llamado Nils encontró una vulnerabilidad en Firefox concretamente un fallo de corrupción de memoria al mover nodos de un árbol DOM entre documentos.

Nils encontró una forma de mover un nodo reteniendo el ámbito anterior y provocando que el objeto fuese liberado erróneamente en cierto instante durante la recolección de memoria, posteriormente se usa el puntero lo que posibilita la ejecución de código arbitrario.

Nils también fue el mismo que gano los premios correspondientes a Internet Explorer, Firefox y Safari de la edición del Pwm2Own de 2009.

La vulnerabilidad con CVE-2010-1121 ha sido corregida en la versión 3.6.3. Mozilla ha informado que aunque la vulnerabilidad solo está presente en la rama 3.6 publicará un parche para la 3.5 ya que podría llegar a ser factible, mediante una forma alternativa a la presentada, explotar la vulnerabilidad.

MAS INFO

DESCARGAR MOZILLA 3.6.3

fuente: hispasec.com

NUEVAS VULNERABILIDADES, que afectan a Mozilla Firefox

Published: Mar 24 2010  | Updated: Mar 24 2010

Desde Vulnerability Team exortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones
necesarias, para ayudar a mitigar los riesgos.

fuente: securityfocus.com



Nueva actualización de Firefox

Los desarrolladores de Firefox han publicado una nueva actualización de Firefox que solucionada varios fallos de seguridad, así como da más estabilidad al navegador.

Tres de las vulnerabilidad que resuelve está actualización han sido consideradas como críticas, mientras que la otra ha sido considerada como baja.

Una de las vulnerabilidades resuelta por los desarrolladores de Mozilla han sido varios bugs que provocaban corrupción de memoria en determinadas circunstancias, y que podría ser explotado para ejecutar código arbitrario.

Otro de las vulnerabilidad, la cual han llamado “TreeColumns dangling pointer vulnerability”, podría ser utilizado por un atacante para bloquear el navegador de la víctima y ejecutar código arbitrario.

Por otro lado también se ha solucionado una vulnerabilidad que permitía a un atacante realizar una escalada de privilegios con FeedWriter, y que le permitiría ejecutar código JavaScript cundo el usuario lea un Rss.

Si tienes instalado Firefox 3.5 o Firefox 3 recibirás una notificación de actualización automática en un período de 24 a 48 horas, aunque si quieres descargar la actualización cuanto antes, puedes hacerlo desde la página de Firefox o bien mediante la actualización automática de Firefox que se puede encontrar en el menú Ayuda->Buscar actualizaciones.

REFERENCIA FIREFOX

fuente: websecurity.es

firefoxpatch1

Los últimos parches de Microsoft, Apple y Mozilla desbordan al departamento TI

A las actualizaciones de seguridad emitidas la pasada semana por Mozilla y Apple se suman los nueve parches lanzados ayer por Microsoft, en su boletin de seguridad del mes de agosto, para mejorar Windows.

Como parte del ciclo mensual de boletines de seguridad de Microsoft, ayer le tocó el turno a Windows. La compañía emitió nueve parches, cinco de ellos críticos y tan sólo uno de ellos no afecta a Windows. Esta última actualización resuelve agujeros en Office, Visual Studio, ISA Server y BizTalk Server. En total, los nueve boletines atajan 19 vulnerabilidades, 15 de ellas críticas.

Los parches de Microsoft son la última dosis de actualizaciones recibidas en los departamentos de TI. La pasada semana, Apple parcheó 18 vulnerabilidades y emitió una actualización de software para iPhone con el objetivo de cerrar una brecha en sus SMS. Pocos días antes, Mozilla había hecho lo mismo con tres vulnerabilidades en su navegador Firefox y la semana anterior, los equipos de TI se encontraron con un parche extraordinario de Microsoft para Internet Explorer.

Sin duda, esta avalancha está manteniendo bastante ocupados a los departamentos de TI durante el verano. Desde Lumension, el analista de seguridad Paul Henry se asombra de la carga de parches procedente de los principales suministradores e incluso espera algo de Oracle, “tras la publicación de una herramienta de hacking en la conferencia Black Hat” dirigida a los sistemas de esta compañía. El experto afirma también que los parches críticos de Microsoft implicarán un duro trabajo para TI: “los cinco críticos requerirán reiniciar los sistemas y causarán un gran impacto”.

Jonathan Bitle, director técnico de Qualys, opina que el foco en Windows marcado por los parches de ayer martes continuará en el tiempo. “A pesar del ciclo de desarrollo seguro implementado por Microsoft hace unos años, seguiremos viendo esta tendencia, incluso con Windows 7. A día de hoy, también Windows Server 2008 se ha visto afectado. Por tanto, deberíamos anticipar que aunque no haya mucho código compartido con Windows 7, seguiremos viendo vulnerabilidades. Es el software más implantado en el mundo”.

Bitle advierte, además, que otra de las cosas que los departamentos de TI deberían tener en cuenta es que aún hay unos 10 exploits de día cero sin resolver y que al menos siete son críticos. “No puedo divulgar ninguno de ellos porque aún no son de conocimiento público, pero afectan a todo, desde Windows a Office e IE”.

En suboletín de ayer, Microsoft cerró un exploit de día cero con MS09-043, el único parche que no afectaba a Windows pero sí a los componentes web de Office, Visual Studio, ISA Server y BizTalk Server.

Además, del 043, Bitle apunta a los parches MS09-037 y MS09-038 como prioritarios. El 037 resuelve un número de vulnerabilidades en Active Template Library en Windows, mientras que el 038 aborda fallos en el proceso de archivos de Windows Media.

Para Eric Schultze, CTO de Shavlik Technologies, también resulta crítico el parche MS09-039, especialmente para los administradores de red que manejen servidores WINS. “Es un ataque de servidor sin autenticar. Es probable que el ataque proceda de dentro de la red pues los puertos necesarios para ejecutarlo están normalmente bloqueados por el firewall de Internet”.

fuente: csospain.es

Tiritas

Mozilla propone cambiar la interfaz de Firefox 3.7

Mozilla podría hacer algunos cambios significativos en la interfaz de usuario de Firefox en la versión 3.7, según se desprende de ciertas informaciones publicadas en la página web de Mozilla Foundation.

Según se desprende de la página web de Mozilla, se está preparando un cambio en la interfaz de usuario para la versión 3.7 de Firefox. En dicha web se pueden ver algunas maquetas a partir de las que se discute entre los desarrolladores de Firefox. En estos momentos, sólo son visibles estos cambios para las versiones Windows, tanto XP como Vista y Windows 7.

Así, todo hace indicar que en Firefox 3.7 se apuesta por una mayor simplificación. Existe menos espacio para botones en la parte izquierda de la barra de direcciones y los botones están separados y con una apariencia distinta entre sí. La barra entera de edición, archivo y visión ya no aparece y, en su lugar, existe una caja, justo al lado de la derecha de la herramienta de búsquedas, con un botón en el que se muestran los favoritos. Además, toda la ventana es más transparente lo que hace que se integre mejor con los elementos de Windows Vista y Windows 7.

Los cambios para la versión XP son similares, salvo por la apariencia cristalina. La principal diferencia aparece en los botones de las barras de herramientas y favoritos, que también tienen un diseño diferente pero con la misma función que en el diseño para Vista y Windows 7.

fuente: idg.es

firefox Mockup-Vista-001

Aparece una nueva aplicación orientada al robo de contraseñas

BitDefender hace público el descubrimiento de un nuevo tipo de aplicación en activo de robo de contraseñas que se hace pasar por un plugin de Mozilla Firefox. El malware, Trojan.PWS.ChromeInject.A, se descarga en la carpeta de Pluging de Mozilla Firefox y se ejecuta cada vez que el usuario abre dicho navegador.

Trojan.PWS.ChromeInject.A actúa filtrando los datos enviados por el usuario en más de 100 sitios web de compra o banca online. Entre las webs afectadas encontramos: bankofamerica.com, chase.com, halifax-online.co.uk, wachovia.com, paypal.com y e-gold.com. Aquellos usuarios infectados con el Trojan.PWS.ChromeInject.A envían sus credenciales de acceso a una dirección web similar a [removed]eex.ru. Tanto el dominio como el servidor de hosting están localizados en Rusia, lo que da indicios del punto de origen de la amenaza.

Según señala BitDefender, los usuarios deben tener en cuenta la peligrosidad que supone exponerse a ser víctimas de robos de información confidencial.

fuente: laflecha

security_warning