Mozilla liberó actualizaciones para la versión 1.5.0.7 de su navegador de Web Firefox y para su aplicación de correo electrónico Thunderbird. Ambos productos comparten el código modular, y por ello presentan similitudes básicas en cuanto a vulnerabilidades.
Mientras crece la popularidad de Firefox, se ha vuelto un blanco más atractivo para los hackers, quienes tradicionalmente han enfocado sus esfuerzos hacia el Internet Explorer de Microsoft.
Estas recientes actualizaciones son el último de los esfuerzos de Mozilla para afrontar los desafíos propuestos por la vulnerabilidad de Firefox y Thunderbird. Después de que la versión 1.0 de Firefox fuera liberada en noviembre de 2004, se encontraron casi 75 vulnerabilidades críticas antes de que apareciera la versión 1.5, en noviembre de 2005. Cincuenta y nueve “parches" subsecuentes, incluyendo el último, llevaron a Firefox hasta su versión 1.5.0.7.
La primera de las actualizaciones es un parche que corrige una vulnerabilidad Cross-Site Scripting (XSS) en el bloqueador de ventanas emergentes, por la cual se habilita una opción en el bloqueador que permite desplegar ciertas ventanas emergentes que deberían ser bloqueadas y que, a su vez, podrían provocar una referencia remota a un sitio mal intencionado, incluso si JavaScript estuviera inactivo. Otras actualizaciones atendieron problemas de gestión de la memoria, una que causa un conflicto en la consulta de la memoria que podría colapsar el navegador e inyectar un código ejecutable; y otra con un desbordamiento de memoria provocado por el uso de caracteres inválidos en código JavaScript diseñado ex profeso, el cual puede ser aprovechado para correr un programa malicioso.
Mozilla reparó también una implementación débil de certificados digitales de RSA, a través de la cual podría permitir la validación de certificados SSL/TLS falsos, para posibilitar la intervención de un intruso y robar información mientras se efectúa una transacción supuestamente segura.
Finalmente, se corrigió una vulnerabilidad que se activa sobre de la ejecución de JavaScript en correos electrónicos a través de XBL (eXtensible Bindings Language) y que implica que, incluso cuando JavaScript estuviera inhabilitado, sea posible recibir una referencia externa a un objeto XBL codificado, de manera que un atacante pueda ver las respuestas de correo electrónico del usuario.
Informe de TrendMicro
News
Mientras crece la popularidad de Firefox, se ha vuelto un blanco más atractivo para los hackers, quienes tradicionalmente han enfocado sus esfuerzos hacia el Internet Explorer de Microsoft.
Estas recientes actualizaciones son el último de los esfuerzos de Mozilla para afrontar los desafíos propuestos por la vulnerabilidad de Firefox y Thunderbird. Después de que la versión 1.0 de Firefox fuera liberada en noviembre de 2004, se encontraron casi 75 vulnerabilidades críticas antes de que apareciera la versión 1.5, en noviembre de 2005. Cincuenta y nueve “parches" subsecuentes, incluyendo el último, llevaron a Firefox hasta su versión 1.5.0.7.
La primera de las actualizaciones es un parche que corrige una vulnerabilidad Cross-Site Scripting (XSS) en el bloqueador de ventanas emergentes, por la cual se habilita una opción en el bloqueador que permite desplegar ciertas ventanas emergentes que deberían ser bloqueadas y que, a su vez, podrían provocar una referencia remota a un sitio mal intencionado, incluso si JavaScript estuviera inactivo. Otras actualizaciones atendieron problemas de gestión de la memoria, una que causa un conflicto en la consulta de la memoria que podría colapsar el navegador e inyectar un código ejecutable; y otra con un desbordamiento de memoria provocado por el uso de caracteres inválidos en código JavaScript diseñado ex profeso, el cual puede ser aprovechado para correr un programa malicioso.
Mozilla reparó también una implementación débil de certificados digitales de RSA, a través de la cual podría permitir la validación de certificados SSL/TLS falsos, para posibilitar la intervención de un intruso y robar información mientras se efectúa una transacción supuestamente segura.
Finalmente, se corrigió una vulnerabilidad que se activa sobre de la ejecución de JavaScript en correos electrónicos a través de XBL (eXtensible Bindings Language) y que implica que, incluso cuando JavaScript estuviera inhabilitado, sea posible recibir una referencia externa a un objeto XBL codificado, de manera que un atacante pueda ver las respuestas de correo electrónico del usuario.
Informe de TrendMicro
News
Comentarios