La eterna historia... cuando no les toca a unos, les toca a otros. Supongo que pronto tendrán alguna actualización así que ''' a vigilar '''.

- Hispasec: una al día.           02/10/2006

Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses.

Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. Parece que no se han publicado (al menos en línea) más detalles técnicos sobre el problema, pero la revelación de los descubridores ha llamado la atención de los medios. En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha protagonizado muchas de las vulnerabilidades del navegador hasta la fecha. De hecho, los propios  Spiegelmock y Wbeelsoi califican su implementación en Firefox de "un completo desorden" y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. "Es imposible de parchear", afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación. Adelantó que están investigando el fallo, y que si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que "Internet Explorer, como todo el mundo sabe, no es muy seguro, pero Firefox también es bastante inseguro", avivando así una estéril discusión entre navegadores, ya bastante gastada tras, por ejemplo, el último informe de Symantec. En él, publicado a finales de septiembre, Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde enero a junio de 2006. Del informe se desprendía que Internet Explorer era el navegador más atacado, pero que Mozilla Firefox sufría más vulnerabilidades. También, que Internet Explorer era el que mantenía a sus usuarios desprotegidos durante más tiempo. Este informe hizo que (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de las cifras absolutas, y se condenasen los métodos de actualizaciones de Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio de Hispasec, se viene observando desde hace tiempo cómo los troyanos tienen cada vez más en cuenta esta "alternativa" y no es raro encontrar su nombre en el código del malware destinado al robo de credenciales, si bien no se suelen utilizar sus vulnerabilidades como medio de infección... pero esto puede cambiar con el tiempo y su creciente popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no garantiza un mayor grado de seguridad que si se utiliza Internet Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una falsa sensación de seguridad y por ello se dejan de tomar las medidas de seguridad adecuadas que resultan imprescindibles para usar de forma responsable cualquier programa. Esto debe ir más allá de su (subjetiva y etérea) fama de seguro o inseguro.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2900/comentar

Más información:

Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability http://www.securityfocus.com/bid/20282/discuss

0day vulnerabilities in Firefox, with source
http://blogs.securiteam.com/index.php/archives/657

Hackers claim zero-day flaw in Firefox
http://news.zdnet.com/2100-1009-6121608.html

Some Sobering Security Stats
http://blog.washingtonpost.com/secu...ure%20Watch.pdf

Muchas gracias Curry.
Vi el aviso ayer por la noche, pero era tarde y estaba cansado.

Me ahorras el trabajo de ponerlo jejeje.
Un saludo y repito.
Gracias.





_________________________________

Ty Curry por la noticia, me crea un dilema pero tb me lo soluciona, quiero decir q me gusta mas FF q IE y esto al igualarlos me deja elegir mejor pq la verdad nunca crei tanta superioridad de uno contra el otro, tys.

PD:Joio esto tienes q poner de noticia en el portal no lo q pusiste
PD1:Y q co.. hace ese pastelito ahí





_________________________________
No nos atrevemos a muchas cosas porque son difíciles, pero son difíciles porque no nos atrevemos a hacerlas. (Séneca)

Manolo, que quieres decir con

Manolo Escribió: [Ver Mensaje]

y esto al igualarlos me deja elegir mejor pq la verdad nunca crei tanta superioridad de uno contra el otro

No lo he pillado jaja.
Sobretodo la parte de "igualarlos"

PD: Manolo, lo queria poner en el portal, pero esperare almenos hoy o mañana para que no baje tu mensaje del cumpleaños jaja

PD2: Pues porque es tu cumpleaños jajaja, mira tu que facil eh xDD.





_________________________________

Jajaja es q soy retorcio lo sabes, qeria decir q al ver con esto una igualdad entre los dos y gustarme mas FF ya no me crea desconfianza y seguire usandolo mas q el IE y como pase un minuto de las 12 y mentere q estas despierto y no lo pongas.... ty apo, no lo merezco por una sencilla razon, aqui la inmensa mayoria es mejor persona q yo te lo aseguro y ellos lo demuestran





_________________________________
No nos atrevemos a muchas cosas porque son difíciles, pero son difíciles porque no nos atrevemos a hacerlas. (Séneca)

Gracias por la info! aunque eso no cambia mi opinión sobre Firefox  

Me anima leer noticias como estas sobre firefox 1 vez a las 1000... en cambio con IE, oía estas noticias 1000 veces y tenía que actualizar windows constantemente ¬¬ xD





_________________________________

El problema (o quizas no sea problema) es que el firefox cada vez está siendo más utilizado. Por lo tanto, está más en el punto de mira y le rebuscan y encuentran todos los agujerillos. De ahí que cada vez le encuentren más.

Pero claro,... mejor que los encuentren y los arreglen. Digo yo.

Pues nada, ahora dicen que al parecer, no era para tanto.

================

La vulnerabilidad en Firefox pudo ser una broma
 -----------------------------------------------

La vulnerabilidad anunciada como 0 day para Mozilla Firefox ha podido ser una broma de mal gusto a la que se ha dado demasiada credibilidad.
Parece que el error no permite la ejecución de código, y (por ahora) representa un simple fallo que hace que la aplicación se cuelgue.

Desde el primer momento, tal y como anunciamos en un boletín anterior, no quedaba excesivamente clara la potencial gravedad de la vulnerabilidad. "En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema" decíamos entonces. No se tenían detalles, tan sólo una presentación en directo en una conferencia, aunque sí fue confirmado por algunos medios importantes como SecurityFocus. Finalmente, parece que las sospechas se confirman y la vulnerabilidad ha perdido bastante peso en cuanto a potencial dañino.
Los propios responsables de la difusión del supuesto fallo han confesado que querían pasárselo bien y sin pruebas, afirmaron que podrían ejecutar código y que conocían muchas otras vulnerabilidades no reveladas. Pura fanfarronería.

Snyder, jefa de seguridad de Mozilla, ha confirmado que la denegación de servicio es reproducible en base a la información aportada por los dos bromistas, pero que no pueden confirmar la ejecución de código. A pesar de la desagradable broma, en Mozilla se lo toman en serio y lo están estudiando. Harán saber si en realidad es posible la ejecución de código. No en vano, es cierto que JavaScript es un problema real para todo navegador y ha sido fuente de graves vulnerabilidades anteriores.

Esperemos que no ocurra como con la reciente vulnerabilidad en el control ActiveX WebViewFolderIcon de Internet Explorer. El día 17 de julio HD Moore la descubrió y publicó que se trataba de una simple forma de hacer morder el polvo al navegador. Hubo que esperar al 27 de septiembre para que alguien hiciese pública una forma de aprovecharlo para ejecutar código y se convirtiese en una de las vulnerabilidades más explotadas del momento. Nunca se sabe.

La experiencia debe convencernos que no siempre todo lo que se dice o hace en una demostración en directo es cierto. Sin ir más lejos, una historia sospechosamente parecida ocurrió a principios de agosto, cuando Jon "Johnny Cache" Ellch y David Maynor quisieron demostrar en una presentación Black Hat cómo colarse en un Apple Macbook en 60 segundos a través de sus controladores "wireless". Finalmente todo fue una gran exageración y la demostración, aunque vistosa, no era del todo real. En resumen, usaron otros controladores vulnerables que no pertenecían a
Apple.        

Todo esto ha servido, como también escribíamos anteriormente, para avivar la estéril polémica entre navegadores. A la espera de que se confirme si realmente existe un problema grave (posible, pero poco probable), lo que sigue siendo cierto es que, cada vez más, la seguridad del navegador depende en gran medida del usuario. Se deben tomar las medidas de seguridad adecuadas para usar de forma responsable cualquier programa. Las discusiones partidistas están de más, y sobre todo, las bromas de mal gusto con las que se busca una rápida notoriedad a costa de alarmar a los usuarios.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2902/comentar

Más información:

02/10/2006- 0 day en Mozilla Firefox
http://www.hispasec.com/unaaldia/2900

RETIRED: Mozilla Firefox Multiple Unspecified Javascript Vulnerabilities http://www.securityfocus.com/bid/20294/discuss

Update: Possible Vulnerability Reported at Toorcon http://developer.mozilla.org/devnew...ted-at-toorcon/

Hijacking a Macbook in 60 Seconds orLess http://blog.washingtonpost.com/secu...in_60_seco.html

Curry me vas a matar joia   Bueno yo seguire usando mas FF  y creo que pasare de noticias "catastroficas" y empezare a creer en la experiencia que estoy cogiendo sin temores a lo que se diga sino a lo que me pase, ty Curry.





_________________________________
No nos atrevemos a muchas cosas porque son difíciles, pero son difíciles porque no nos atrevemos a hacerlas. (Séneca)

Bueeeno,... al menos el segundo aviso era para relajar un poquito. Ya sabes, primero te empiezan a ahogar y cuando sueltas estás mucho más contento