2005
Abr
23
23/04/2005 Nueva actualización de seguridad de Firefox
La fundación Mozilla ha publicado la versión 1.0.3 de su navegador web
Firefox, con la que soluciona varios problemas de seguridad.
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
componente navegador web del proyecto Mozilla, un producto de calidad
y popularidad creciente, con más de 25 millones de descargas.Se acaba de publicar la versión 1.0.3 de Firefox, con la que se
solucionan los siguientes problemas de seguridad:* Debido a un bug de programación del intérprete de JavaScript del
navegador, un script puede llegar a acceder a memoria interna del
navegador web, y revelar posiblemente información potencialmente
sensible.* Un error en la gestión de "PLUGINSPAGE" cuando no tenemos instalado
el "plugin" correspondiente permite ejecutar código JavaScript con
privilegios locales.* Si el usuario tiene filtrados los "popups", pero decide activar uno
puntualmente de forma manual, y dicho "Popup" contiene código
JavaScript, éste se ejecutará con privilegios locales.* Una página web maliciosa puede instalar código JavaScript que será
ejecutado en el contexto de la próxima página cargada. Esto puede
utilizarse para acceder a información sensible (claves, "cookies") o
realizar operaciones maliciosas sobre dicha web, con las credenciales
del usuario.* Una página web maliciosa puede ejecutar código JavaScript con
privilegios locales, a través de enlaces "favicon" (los pequeños iconos
en la barra y en la libreta de direcciones ).* Un código JavaScript malicioso, instalado como "plugin" de búsqueda,
puede ejecutarse con los privilegios de la página cargada cuando se
realiza la búsqueda. Ello permite acceder a los datos de su contexto
(por ejemplo, "cookies"), filtrar información confidencial o realizar
operaciones maliciosas con las credenciales del usuario.* Dos fallos de seguridad permiten que una página maliciosa ejecute
código con privilegios locales, a través de la modificación en tiempo
de ejecución de páginas privilegiadas (por ejemplo, "about:config").* Los objetos que gestionan la instalación de extensiones aceptaban
objetos arbitrarios incorrectamente. Eso podría permitir la ejecución
de código arbitrario, en el peor de los casos.* La sobreescritura de objetos DOM privilegiados en memoria puede
permitir la ejecución de código JavaScript con privilegios elevados.Hispasec recomienda a todos los usuarios de Firefox que actualicen a
la versión 1.0.3.Es de destacar la premura con la que la fundación Mozilla soluciona
los problemas de seguridad que le son comunicados. Y es de destacar,
también, que sigan manteniendo los "boletines Mozilla" para los
informes de fallos de seguridad de sus productos.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2373/comentar
Más Información:
Javascript "lambda" replace exposes memory contents
http://www.mozilla.org/security/announce/mfsa2005-33.html
PLUGINSPAGE privileged javascript execution
http://www.mozilla.org/security/announce/mfsa2005-34.html
Showing blocked javascript: popup uses wrong privilege context
http://www.mozilla.org/security/announce/mfsa2005-35.html
Cross-site Scripting through global scope pollution
http://www.mozilla.org/security/announce/mfsa2005-36.html
Code execution through javascript: favicons
http://www.mozilla.org/security/announce/mfsa2005-37.html
Search plugin cross-site scripting
http://www.mozilla.org/security/announce/mfsa2005-38.html
Arbitrary code execution from Firefox sidebar panel II
http://www.mozilla.org/security/announce/mfsa2005-39.html
Missing Install object instance checks
http://www.mozilla.org/security/announce/mfsa2005-40.html
Privilege escalation via DOM property overrides
http://www.mozilla.org/security/announce/mfsa2005-41.html
Mozilla Firefox JavaScript Engine Information Disclosure Vulnerability
http://secunia.com/advisories/14820/
Fixed in Firefox 1.0.3
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox
Firefox 1.0.3 and Mozilla Suite 1.7 Released
http://it.slashdot.org/article.pl?sid=05/04/16/054234
Mozilla Firefox 1.0.3 Release Notes
http://www.mozilla.org/products/firefox/releases/1.0.3.html
Firefox
http://www.mozilla.org/products/firefox/
Jesús Cea Avión