- Otras noticias
Consiguen romper CAPTCHAS de audio con un 89% de tasa de acierto
Alertan de un virus que invita a ver el final de la última entrega de Harry Potter.jpg)
Detenido el creador de un virus que además espiaba a los internautas través de webcams.jpg)
El Ayuntamiento de Torremolinos (Málaga) ofrece recomendaciones para navegar por Internet de forma segura.jpg)
Sobre las zonas de seguridad en Windows
Desafían a crear el "downloader" más pequeño del mundo
La Fundación Mozilla publica once boletines de seguridad para Firefox
Denegación de servicio en VirtualBox a través de "Guest Additions"
Redo Backup and Recovery, no te vayas de vacaciones sin hacer "backup"
Ejecución de código arbitrario en CA ARCserve Backup
- En el foro
-
boletines
Nueve boletines de seguridad para Firefox 3.0.11
17 Jun 2009 | HISPASEC.COM
La nueva versión de Firefox soluciona once vulnerabilidades aglutinadas en nueve boletines. Cuatro de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y dos de carácter bajo.
Específicamente, cada boletín, ordenados por gravedad:
Críticas:
* MFSA 2009-32 (CVE-2009-1841): Ejecución de código con privilegios de
Chrome mediante JavaScript. Por un error en nsSidebar.prototype.getInterfaces que permite crear objetos en este contexto.* MFSA 2009-29 (CVE-2009-1838): Ejecución de código JavaScript en el contexto de Chrome. Esto ocurre si tras una recolección de basura el usuario es nulo.
* MFSA 2009-28 (CVE-2009-1837): Posible ejecución de código mediante el uso de un applet de Java. Un error en xul.dll permite un acceso indebido a NPObject JS wrapper antes de la carga del applet permitiría la inyección de código arbitrario.
* MFSA 2009-24 (CVE-2009-1833, CVE-2009-1392, CVE-2009-1832): Varios errores de la base de Mozilla crean varios desbordamientos de memoria intermedia que podrían ser usadas para ejecutar código.
Altas:
* MFSA 2009-27 (CVE-2009-1836): Un error en el procesado de las respuestas que no son 200 durante el 'connect', cuando se está usando un proxy, puede permitir que un atacante remoto modifique el contenido de la respuesta incluso en una conexión SSL.
Moderadas:
MFSA 2009-30 (CVE-2009-1839): Salto de restricciones de lectura local mediante el uso de iframe que salta las restricciones de acceso hacia atrás, es decir, desde /a/b/index.htm podríamos ver /a/index.htm
MFSA 2009-26 (CVE-2009-1835): Salto de restricciones de lectura local de cookies de cualquier dominio mediante el uso de file://. Por ejemplo en file://example.com/C:/foo.html leeríamos foo.html local pero con los datos en el dominio de example.com
Bajas:
MFSA 2009-31 (CVE-2009-1840): Salto de la comprobación de las políticas a través de ficheros XUL script.
MFSA 2009-25 (CVE-2009-1834): Suplantación de la URL en MacOS X al no tratar correctamente los caracteres unicode, de este modo una URL especialmente modificada podría hacerse pasar por otra.
La mayoría de estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.
- Boletín
Si quieres recibir cada semana las noticias más interesantes suscríbete a nuestro boletín.
- Comentarios
- Publicidad
- Ahora en LaFlecha puedes encontrar Cursos y Másters
tengo mas errores en el 3.0.11