No estás registrado (Registrarse)

Vanilla 1.1.10 es un producto de Lussumo. Para más información: Documentación, Soporte.

Recursos: vulnerabilidades en Mozilla Firefox

Abajo

1 a 2 de 2

  1.  
    • CommentAuthorepsilon
    • CommentTimeMar 28th 2008 editado
     # 1
    Se han encontrado múltiples vulnerabilidades en Mozilla Firefox,
    Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante
    remoto para revelar información sensible, saltarse restricciones de
    seguridad, realizar ataques de cross-site scripting o incluso ejecutar
    código arbitrario en un sistema vulnerable.

    Las vulnerabilidades anunciadas son las siguientes:

    * Diversos errores en el manejo de código JavaScript que podrían ser
    aprovechados para realizar ataques de cross-site scripting o para
    ejecutar código arbitrario.

    * Errores en el motor JavaScript que podrían provocar la corrupción de
    la memoria y permitir la ejecución de código arbitrario.

    * Firefox entrega un certificado SSL privado, configurado previamente,
    cada vez que un servidor web realiza una petición SSL de autenticación
    de cliente. Esto podría ser aprovechado para ganar acceso información
    sensible desde un servidor web malicioso que realice dicha petición.

    * Existe un error al mostrar ventanas pop-up XUL que podría ser
    aprovechado para ocultar los bordes de las ventanas, con lo que se
    facilitaría la realización de ataques de phishing.

    * Se ha encontrado un error no especificado en el manejo de
    XPCNativeWrappers que podría ser aprovechado para ejecutar código
    JavaScript arbitrario con los privilegios del usuario, por medio de
    llamadas a la función setTimeout.

    * Existen varios errores en el motor de diseño que podrían ser
    aprovechados para causar una corrupción de memoria.

    * Otro de los problemas reside en un error en el manejo de cabeceras
    HTTP "Referer:" enviadas con peticiones a URLs que contengan
    credenciales de "Autenticación Básica" con un nombre de usuario vacío.
    Esto podría ser aprovechado para saltarse las protecciones contra
    ataques de cross-site request forgery.

    * La última vulnerabilidad está causada por un error en el manejo del
    protocolo "jar:" que podría ser aprovechado para establecer conexiones a
    puertos arbitrarios en la máquina local.

    Las siguientes versiones y productos se verían afectados por las
    vulnerabilidades:
    - Las versiones de Firefox anteriores a la 2.0.0.13 se ven afectadas por
    todas las vulnerabilidades.
    - Las versiones de Seamonkey anteriores a la 1.1.9 se ven afectadas por
    todas las vulnerabilidades.
    - Las versiones de Thunderbird anteriores a la 2.0.0.13 se ven afectadas
    sólo por algunas de las vulnerabilidades.

    Articulo de:
    http://www.hispasec.com/unaaldia/3442/Disclaimer: Por lo menos así lo veo yo.
    •  
      CommentAuthortrevanian
    • CommentTimeMar 28th 2008
     # 2
    Menos mal que tengo el FF 2.0.0.13 ya...:shocked:En lo más íntimo quiero chili (con carne, a poder ser :tiko:) · Especialista en tiros por la culata · No me ando con chiquitas · Gandu hu, gandu hu, garu se kaho!

1 a 2 de 2

  1.