Vulnerabilidad en Firefox 3 podría afectar a 17 millones de ordenadores

Loa #1 Jun '08 :psyduck:

Desde la nueva versión del popular navegador Mozilla Firefox 3.0 , se han registrado más de 17 millones de descargas tal y como se puede ver en el contador de la página web de la distribución Firefox. Pero tan sólo en unas cuantas horas (aproximadamente cinco) de la disponibilidad final de Firefox Mozilla 3.0 de cara al público, los bugs de seguridad fueron reportados. TippingPoint, un proveedor de sistemas de prevención de intrusiones en red, informó de un problema de seguridad existente en Mozilla Firefox 3.0, todo ello a través de su programa Zero Day Initiative (ZDI) que recompensa a los investigadores de seguridad por obtener información exclusiva que revela vulnerabilidades en productos de software.

La principal prioridad de de Firefox 3.0 es mantener la información personal segura y proteger a los usuarios ante phishing y malware, de ahí que se hayan incluido nuevas características en temas de seguridad. por su parte TippingPoint confirmó la existencia de una vulnerabilidad crítica de gravedad alta que afecta a Mozilla Firefox 3.0 (ZDI ID: ZDI-CAN-349) y versiones anteriores de Firefox 2.0.x: "Hemos verificado la vulnerabilidad en nuestro laboratorio, a continuación y rápidamente, se informó de tal vulnerabilidad al equipo de seguridad Mozilla. El empleo de manera exitosa de la vulnerabilidad podría permitir a un atacante ejecutar código malicioso. A diferencia la mayoría de las vulnerabilidades encontradas hoy en día, esta requiere que el usuario haga clic en un vínculo en su correo electrónico o visitar una página Web malintencionada."

En respuesta a este informe de seguridad, se puede leer en el Mozilla Security Blog, "este problema está actualmente bajo investigación. Para proteger a nuestros usuarios, todos los detalles de este problema permanecerán en absoluto secreto hasta que se envíe una actualización".

Otras páginas web como SecurityFocus ya han dado alguna información sobre tal vulnerabilidad, comentando que trata de una vulnerabilidad de desbordamiento de búfer no especificado (boundary condition error), las nuevas mejoras de seguridad de Firefox 3.0 no son suficientemente potentes para soportar amenazas de pishing y malware. Para concluir, teniendo en cuenta que se han realizado más de 14 millones de descargas de Mozilla Firefox 3.0, los equipos de estos usuarios se encuentran en peligro potencial hasta que los parches de seguridad para corregir las vulnerabilidades existentes sean liberados.

-OnE- #2 Jun '08 :psyduck:

Lo siento, no entiendo mucho de estas cosas, pero tanto peligro entraña un desbordamiento de búfer? En qué consiste?

geco #3 Jun '08

Que hagan un trasvase del buffer.

Soltrac #4 Jun '08 MV Wizard

#2 Un desbordamiento de buffer es muy peligroso.

Imagínate q tienes 5 "zonas" de memoria para tal operación y por un desbordamiento, te pasas de esas 5. El programa entonces salta a una zona desconocida (zona 6) en la q en principio no hay nada o hay mierda, por lo que dará un error y ya está.

El problema es cuando aprovechamos ese desbordamiento y en la zona 6 colocamos algo peligroso, tipo una instrucción en tu PC (format c) o la ejecución de lo q sea, etc.

En resumen, con un desbordamiento de buffer lo q hacemos es que el programa salte a una dirección de memoria que no tiene controlada.

Muy básicamente es eso.

-OnE- #5 Jun '08 :psyduck:

Entendido. Entonces habrá que esperar a que actualicen.

angelorz #6 Jun '08 Cofrade

A mí hoy me ha dado un error el Firefox y me ha pedido que termine el proceso...

es eso?

tadex #7 Jun '08

#6 no.

LzO #8 Jun '08

Haber esta vulnerabilidad salió a la luz hace ya muchos días y consiste en que visitando una web, te pueden colar un bonito malware.

aLeX #9 Jun '08

Llega a ser del Explorer y lo primero que hacen es decir en que consiste, es más, te hacen hasta el script para putear. Pero siengo Firelol, siendo software libre (bla bla bla) no dicen ni mu.

maRc #10 Jun '08

#9, porque muchas veces los fallos que se descubren en el IE MS pasa de arreglarlos. Aunque Mozilla también se las trae con este tema a veces.

De todas maneras, un bug descubierto 5 horas después de publicar la versión 3 y que también afecta a la rama 2, me da a mi que la descubrieron en esta y se esperaron para anunciarla a la 3 a ver si también estaba afectada.

Abhorash #11 Jun '08

Pero como la vulnerabilidad no es en un producto microsoft no pasa nada.

Shaka #12 Jun '08

Yo tengo un problema taco de raro con el 3 que antes no tenia.

Uso dos ordenadores, el del trabajo y el de mi casa y en los 2 actualize al 3.

El del trabajo no me da problemas y puevo ver videos en youtube y ..xtube sin problemas.

Pero en el de mi casa a los 2 minutos de carga del video ya sea en pequeño o en pantalla completa, se bloquea y me da error de firefox y me cierra todas las ventanas.

Me funciona perfectamente navegando, pero en los tubes ... me casca.

Sabeis como solucionarlo?

Thx.

Loa #13 Jun '08 :psyduck:

reinstala los plugin de video

Camarada #14 Jun '08

Mire el record de descarga mundial se va a convertir en el record de contagio mundial jajajajajaja.

Usuarios habituales