La Fundación Mozilla ha publicado una actualización (2.0.0.12) para sus productos estrella que soluciona más de 10 problemas de seguridad. Con solo visitar una página, un atacante podría provocar una denegación de servicio, robar información sensible, corromper la base de datos de contraseñas o ejecutar código. Precisamente la vulnerabilidad que permite descubrir información sensible del usuario, ha sido descubierta por el equipo técnico de Hispasec Sistemas.
La versión 2.0.0.12 de Firefox soluciona más de diez problemas de seguridad, tres de ellos considerados críticos, que heredan sus hermanos Thunderbird y Seamonkey. Uno de los problemas de seguridad corregidos fue descubierto hace varias semanas por el equipo técnico de Hispasec, y reportado a la Fundación. Corregido en el repositorio desde hace días, ahora sale a la luz la versión oficial que lo soluciona. Aun así, por razones ajenas a nuestra voluntad no podemos hacer públicos los detalles técnicos de la vulnerabilidad. El problema afecta a otros navegadores que todavía no han solucionado el fallo o han pedido expresamente más tiempo para solucionarlo.
El fallo descubierto por Hispasec permite a un atacante obtener información sensible del usuario víctima. Publicaremos en cualquier caso los detalles durante semana que viene.
Un breve resumen de los problemas oficiales corregidos en estas nuevas versiones son:
* Se han encontrado varios problemas de seguridad en la forma en la que Firefox procesa cierto contenido web especialmente manipulado. Si un usuario visita una web con este contenido, el atacante podría ejecutar código arbitrario con los privilegios del navegador.
* Se han encontrado varios fallos en la forma en la que Firefox muestra contenido que podría permitir a un atacante obtener información sensible.
* Un fallo en la forma en la que Firefox almacena contraseñas. Un contraseña almacenada en una web especialmente manipulada, podría corromper la base de datos de contraseñas.
* Un fallo en la forma en la que Firefox maneja ciertas direcciones chrome. Si un usuario tiene ciertas extensiones instaladas, podría permitir a un atacante obtener información sensible.
* Un fallo en la forma en la que Firefox muestra ficheros de texto.
Se recomienda la inmediata actualización del navegador desde
http://www.mozilla.org/.
ssantos@hispasec.com
Más información:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html
Deja una respuesta