Archivo de la etiqueta: firefox

Firefox introduce una grave vulnerabilidad con sus últimos parches

El día 20 de julio Mozilla anunciaba la nueva versión 3.6.7 y 3.5.11 de su navegador, que corregía 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya está disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores.
La versión 3.6.8 de Firefox se ha tenido que lanzar con cierta urgencia (solo tres días después de publicar la versión 3.6.7) para corregir una vulnerabilidad que permite la ejecución de código arbitrario. La solución introducida en la versión 3.6.7 para corregir un problema de manejo de plugins, introducía un fallo que, bajo ciertas circunstancias, podría producir un desbordamiento de memoria intermedia. Esto podría permitir la ejecución de código arbitrario.
Para solucionarlo han publicado la versión 3.6.8 y el boletín MFSA2010-48 describiendo el fallo. La versión 3.6.7 ha sido por tanto bastante efímera, aunque no es la primera vez que ocurre con el navegador. La versión 3.6.4 apareció el 22 de junio, y desde entonces en menos de un mes se han publicado varias subversiones.
En la versión 3.6.4 los desarrolladores añadieron cierta protección contra los “cuelgues” de algunos plugins, para que no hicieran que todo el navegador dejase de responder. Para ello añadieron un “timeout”: si el plugin no respondía en ese tiempo, Firefox tomaba el control terminando la tarea. Así se evitaba que el cuelgue arrastrase a todo el navegador.
Sin embargo se dieron cuenta de que el “timeout” introducido era muy corto. Solo 10 segundos. Algunos plugins, como Flash, pueden no responder durante ese tiempo en algunas máquinas sin que signifique que el complemento haya dejado de responder necesariamente. En muy pocos días, se produjo una “travesía” hasta la versión 3.6.6 para corregir ese fallo, y aumentar el “timeout” hasta unos 45 segundos.
Anuncios

Mozilla corrige la vulnerabilidad para Firefox presentada en el Pwm2Own 2010

Mozilla ha publicado una actualización de seguridad para el navegador Firefox que corrige una vulnerabilidad que podría permitir a un atacante remoto ejecutar código arbitrario.
La vulnerabilidad se publicó en el Pwm2Own, un concurso dentro del contexto de la conferencia de seguridad CanSecWest, donde se compite por ser el primero en explotar los principales navegadores y teléfonos móviles.
Un investigador alemán de MWR InfoSecurity llamado Nils encontró una vulnerabilidad en Firefox concretamente un fallo de corrupción de memoria al mover nodos de un árbol DOM entre documentos.
Nils encontró una forma de mover un nodo reteniendo el ámbito anterior y provocando que el objeto fuese liberado erróneamente en cierto instante durante la recolección de memoria, posteriormente se usa el puntero lo que posibilita la ejecución de código arbitrario.
Nils también fue el mismo que gano los premios correspondientes a Internet Explorer, Firefox y Safari de la edición del Pwm2Own de 2009. La vulnerabilidad con CVE-2010-1121 ha sido corregida en la versión 3.6.3.
Mozilla ha informado que aunque la vulnerabilidad solo está presente en la rama 3.6 publicará un parche para la 3.5 ya que podría llegar a ser factible, mediante una forma alternativa a la presentada, explotar la vulnerabilidad.
Opina sobre esta noticia:
Más información: Re-use of freed object due to scope confusion – MSFA-2010-25 http://www.mozilla.org/security/announce/2010/mfsa2010-25.html

La versión 3.6.2 de Firefox soluciona el 0 day que se conoció hace un mes

Mozilla por fin ha publicado oficialmente la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hace un mes.
Por su parte (en su dinámica habitual) el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido.
La compañía rusa de seguridad Intevydis, aseguró a mediados de febrero que conocía una vulnerabilidad del navegador Firefox que podría permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dijo que no podía confirmar el fallo.
Evgeny Legerov, de Intevydis, dijo que encontrar el problema y crear un exploit no era trivial pero que era muy fiable y funcionaba en la instalación por defecto del navegador sobre XP y Vista. Efectivamente se confirma que el fallo era real, que en esta versión 3.6.2 se soluciona y que estaba siendo aprovechada por atacantes desde hace semanas. Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, contenía una vulnerabilidad desconocida hasta ahora para Firefox 3.6.
Desde entonces parece que el fallo ha estado siendo aprovechado, aunque Intevydis mantuvo en secreto la vulnerabilidad y solo fue comercializada a través de VulDisco.
Pero, como era de esperar, en algún momento la información ha sido filtrada y ha caído en manos de los atacantes. Mozilla no pudo encontrar la vulnerabilidad aunque supiera que existía, y en un principio no reconocía el fallo. Al parecer, el propio Evgeny Legerov se puso en contacto con la fundación el 18 de marzo, después de que la compañía Secunia confirmara la vulnerabilidad. Aportó los detalles suficientes y entonces es cuando lo han corregido. En total, se ha necesitado aproximadamente un mes para tener lista una versión estable y oficial que solucione el problema. Mozilla ha adelantado su nueva versión, prevista para el 30 de marzo. Como viene siendo habitual, y ante el inminente peligro, la Oficina Federal para la Seguridad de la Información alemana recomendaba no usar Firefox hasta que existiese una actualización oficial. Primero, la recomendación de abandono temporal del navegador le tocó a Chrome, luego a Internet Explorer (noticia con mucha más repercusión que el resto) y ahora a Firefox. Efectivamente, como adelantábamos en una una-al-día anterior, “si la intención [del gobierno alemán] es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga.”
Opina sobre esta noticia:
Más información: Update on Secunia Advisory SA38608
Mozilla Foundation Security Advisory 2010-08
Posible ejecución de código (sin parche) en Firefox 3.6
Recomendaciones de los gobiernos alemán y francés sobre navegadores