Nuevo ZERO DAY en Firefox: Posible ejecución de código (sin parche) en Firefox 3.6

Publicado el 22 febrero 2010 ¬ 15:31 pmh.mscComentarios desactivados en Nuevo ZERO DAY en Firefox: Posible ejecución de código (sin parche) en Firefox 3.6

La reputada compañía rusa de seguridad Intevydis, asegura conocer una vulnerabilidad del navegador Firefox que puede permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dice que no puede confirmar el fallo.

Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, dice contener una vulnerabilidad desconocida hasta ahora para Firefox 3.6, que permite la ejecución de código arbitrario en Windows. A pesar de que Firefox ha publicado recientemente una nueva versión que soluciona cinco fallos de seguridad, la 3.6 no ha recibido ninguna actualización, con lo que parece que sigue siendo vulnerable a ese error (si es que existe). Evgeny Legerov, de Intevydis, dice que encontrar el fallo y crear un exploit no es nada trivial (desbordamiento de memoria intermedia basado en heap), pero que es muy fiable y funciona en la instalación por defecto del navegador sobre XP y Vista.

Mozilla Foundation parece que está al tanto del asunto, pero no ha podido confirmar la vulnerabilidad.

VulnDisco está disponible para “profesionales de la seguridad” Que paguen por él. Si se confirma el fallo, cualquiera podría tener acceso a esa información y comenzar a aprovecharla. No se tiene constancia de que esto haya ocurrido por ahora. Lo que sí se ha detectado es que esa versión de Firefox ha sufrido numerosos problemas de estabilidad al visitar ciertas páginas. Aunque podría no estar relacionado con el asunto. A veces es habitual que un fallo que hace que un programa deje de responder se convierta en un problema de seguridad aprovechable, aunque esto depende, lógicamente, de la naturaleza del error.

Evgeny Legerov no es ningún desconocido en el mundo de la seguridad, y lidera una empresa seria que comercializa un producto reputado como VulnDisco. No es la primera vez que se conoce un nuevo fallo de seguridad a través de la recopilación realizada en VulnDisco y, sin ningún tipo de prueba adicional, se da por válido dada su buena reputación.
 Fuente

Comentario
Pues esperemos que Firefox saque pronto un parche para esta vulnerabilidad, para evitar dicho ZERO DAY !

saludos

ms, 22-2-2010

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Sin categoría

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies