Dos vulnerabilidades críticas en Firefox 1.0.3
Fecha Martes, 10 mayo a las 15:46:10
Tema Mozilla
Podrían permitir ejecutar código arbitrario sin requerir la interacción del usuario.
(Maestros del Web) Según apareció ayer en la web de Secunia, han sido
descubiertas dos nuevas vulnerabilidades categorizadas como
"Extremadamente críticas" que afectan a Firefox 1.0.3 y versiones
anteriores.
La Primera de ellas está relacionada con la inadecuada protección de
las URLs con JavaScript en Iframes. La segunda tiene que ver con
deficiencias en la verificación del parámetro IconUrl en
InstallTrigger.install().
Con una combinación de ambos se podría ejecutar código arbitrario sin
autorización explícita del usuario y con ciertos privilegios sobre el
sistema.
Se pueden ver los detalles en la web de Secunia y una explicación detallada de cómo trabaja el exploit.
Aunque aún no hay un parche oficial, se presume que Mozilla sacará en
los próximos días la versión 1.0.4 corrigiendo los agujeros. Pero
mientras tanto, aunque en un principio se decía que había que
desactivar el Javascript como medida preventiva, leo en Mozillazine que
es suficiente con desactivar temporalmente la opción que permite a los
sitios web instalar programas.
Para eso habrá que ir a:
Opciones(herramientas) > Preferencias > Características Web y
desactivar la casilla "Permitir a los sitios web instalar programas".
Aunque, según se dice ahí mismo, debido a algunos cambios hechos en
MozillaUpdate, tampoco habrá problema si sólo se tienen a los sitios
update.mozilla.org y addons.mozilla.org en la lista de permitidos, que
es como viene por defecto el Firefox.
Esperemos que las actualizaciones no tarden, pues una de las
características señaladas entre las más importantes del open source es
justamente la capacidad de reaccionar con rapidez ante el
descubrimiento de un bug, sobretodo si implica fuertes riesgos para la
seguridad. ¿O no es lo que le reclamamos tanto a Microsoft y su
Internet Explorer?.
|
|