Vulnerabilidades en Firefox 2 ???

por **CrAfTy** el 26 Oct 2006, 13:37

Firefox 2, vulnerable

Lamento fastidiar la fiesta (¿como siempre?), pero Firefox 2 vuelve a ser vulnerable al primer torpedo de Zalewski, un bug conocido desde hace meses y supuestamente reparado desde la versión 1.5.0.7... pero que al final va a ser que no...

Para quienes prefieren mirar hacia otro lado cuando algo hiere sus deseos y creencias, y se permiten dudar de la gravedad del bug, decir que la propia Fundación Mozilla lo ha calificado como Crítico, a la vez que afirma:

"No hemos visto pruebas de que estos cuelgues puedan ser explotados, pero puesto que evidencian corrupción de memoria, hemos de suponer que sí que podrían."

Están afectadas las versiones 2 RC3 y Final. Por supuesto, con Javascript activado.

Fuente: Kriptopolis

:roll:

por **BhEaN** el 26 Oct 2006, 13:43

Juas...

por **pikolotk** el 26 Oct 2006, 13:46

Pues me parece a mi que voy a seguir, por ahora, con mi Mozilla 1.7.12....

por **ChiLL** el 26 Oct 2006, 13:51

por **francis_110** el 26 Oct 2006, 13:56

ChiLL escribió::-(

por **ChiLL** el 26 Oct 2006, 14:01

francis_110 escribió:
ChiLL escribió::-(

por **garlim** el 26 Oct 2006, 14:12

los cambios gordos hay que esperar que den todos sus errores

antes de usarlos.

por **Deivis** el 28 Oct 2006, 00:54

ChiLL escribió:
francis_110 escribió:
ChiLL escribió::-(

por **radeoon** el 01 Nov 2006, 00:31

pero vamos a ver, el torpedo este lo unico que hace es cerrarte el navegador, realmente creeis que internet va a estar lleno de links al torpedo este? porque dudo que mucha gente sepa programarlos....

por **BhEaN** el 01 Nov 2006, 17:52

radeoon escribió:pero vamos a ver, el torpedo este lo unico que hace es cerrarte el navegador, realmente creeis que internet va a estar lleno de links al torpedo este? porque dudo que mucha gente sepa programarlos....

No he entendido nada...
:pensando:

por **radeoon** el 01 Nov 2006, 22:39

el supuesto bug, se llama "torpedo de zalewski", y lo unico que consigue hacer es cerrarte el firefox, que no es nada para preocuparte, y sino me equivoco los torpedos son javascripts, que con la extension noscript los evitas

por **BhEaN** el 01 Nov 2006, 23:50

Mmm... si, pero desactivar JavaScript no es una solución, ni siquiera un remedio temporal... la mayoría de las webs tienen codigo JavaScript, y estaríamos perdiendo muchas funcionalidades...

por **CrAfTy** el 02 Nov 2006, 09:23

<b><b>BhEaN</b></b> escribió:Mmm... si, pero desactivar JavaScript no es una solución, ni siquiera un remedio temporal... la mayoría de las webs tienen codigo JavaScript, y estaríamos perdiendo muchas funcionalidades...

cierto, y tambien es cierto que los torpedos esos no van a estar ahi en todas las webs... pero habria que dar una solucion, que yo creo que seria detener ese código, ya que hay muchas páginas que hacen uso de javascript por ejemplo para comprobar datos y demas...

:ok:

por **yodadavys** el 02 Nov 2006, 09:41

Deivis escribió:
ChiLL escribió:
francis_110 escribió:
ChiLL escribió::-(

x 1000...

por **CrAfTy** el 02 Nov 2006, 13:27

Nueva vulnerabilidad en Firefox

Esta nueva vulnerabilidad (calificada como Crítica por Mozilla) provoca la caída de Firefox 1.5.0.7 y Firefox 2.0 al intentar crear un objeto Range mediante CreateRange.

Es explotable de forma remota si Javascript está activo en el navegador, pero no se ha demostrado a día de hoy que permita la ejecución de código.

Puedes comprobar la vulnerabilidad en esta demo de Kriptópolis (ojo: cierre inmediato en Linux, y previo aviso en Windows)...

Añadido (17:30): Al parecer, esta vulnerabilidad fue descubierta el 6 de Agosto y remitida a Mozilla el 4 de octubre, sin que Mozilla respondiera [Fuente].

Fuente: Kriptopolis

:roll: