Martes, 23 de Marzo de 2010 | Actualización, Bugs, Mozilla, Seguridad
Mozilla ha confirmado la aparición de una vulnerabilidad calificada como crítica para su navegador Firefox 3.6. (las anteriores no están afectadas).
Mozilla confirmó el descubrimiento de la vulnerabilidad por parte de un investigador de seguridad. Esta vulnerabilidad ya ha está solucionada en una versión nightly del navegador (3.6.2) y se está probando la consistencia de la misma para poder publicarla sobre el día 30 de marzo para los usuarios de la versión 3.6.
La explotación de esta vulnerabilidad podría llegar a permitir una ejecución remota de código.
Hasta que se publique la actualización de seguridad, para prevenir la explotación de esta vulnerabilidad, se puede utilizar otro navegador o versión no afectados por vulnerabilidades o instalar la versión 3.6.2 (nightly) en el sistema.
La personas que están probando la versión 3.7 deben actualizar a la 3.7 Alpha 3 o a la última revisión nightly.
Fuente: Segu-Info
Sábado, 29 de Agosto de 2009 | Mozilla, Seguridad
Les dejo el enlace a un interesante artículo en el blog de Alvaro Paz, sobre análisis forense en Mozilla Firefox para la versión 3 y superiores.
Firefox 3.x utiliza base de datos SQLite para guardar la información relacionada al historial de navegación, descargas, cookies, marcadores, búsquedas realizadas, etc.
- content-prefs.sqlite: Las preferencias individuales para páginas.
- downloads.sqlite: Historial de descargas.
- formhistory.sqlite: Contiene los formularios memorizados.
- permissions.sqlite: Contiene los sitios a los que se le permitió abrir pop-ups.
- cookies.sqlite: Las Cookies.
- places.sqlite: Los datos de los marcadores e historial de navegación.
- search.sqlite: Historial del motor de búsqueda que se encuentra en la parte derecha de la barra de herramientas.
- webappsstore.sqlite: Almacena las sesiones.
Estos archivos según el sistema operativo se almacenan para cada usuario en los siguientes destinos:
- Linux : “/home/”nombre usuario”/.mozilla/firefox//”
- Windows XP: “C:\Documents and Settings\”nombre usuario”\Application Data\Mozilla\Firefox\Profiles\”carpeta perfil”\”
- Windows Vista: “C:\Users\”nombre usuario”\AppData\Roaming\Mozilla\Firefox\Profiles\”carpeta perfil”\”
Análisis forense de Mozilla Firefox 3.X:
http://vtroger.blogspot.com/2009/08/analisis-forense-de-mozilla-firefox-3x.html
Jueves, 30 de Abril de 2009 | Actualización, Bugs, Mozilla, Seguridad
Se ha reportado una vulnerabilidad en Mozilla Firefox que podría ser aprovechada para ejecutar código arbitrario en el sistema vulnerable sin el consentimiento del usuario.
Versiones Afectadas
Se ven afectadas por esta vulnerabilidad la versión 3.0.9 de Mozilla Firefox.
Recomendamos consultar el sitio del proveedor por información actualizada de las versiones afectadas por esta vulnerabilidad.
Continuar leyendo este articulo »
Jueves, 26 de Marzo de 2009 | Bugs, Mozilla, Seguridad
El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.
El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código. El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.
Continuar leyendo este articulo »
Miércoles, 4 de Febrero de 2009 | Actualización, Bugs, Mozilla, Seguridad
Mozilla ha publicado su nueva versión 3.0.6 de Firefox, abandonando ya por primera vez la rama 2.x en cuestión de seguridad. Como todas las pequeñas actualizaciones de Firefox, su fin principal es solucionar vulnerabilidades, seis en este caso. También afectan a Seamonkey y Thunderbird, aunque, como de costumbre, de estos programas no se publicará actualización hasta más adelante.
Continuar leyendo este articulo »
Sábado, 20 de Diciembre de 2008 | Actualización, Bugs, Mozilla, Seguridad
Se han reportado múltiples vulnerabilidades de seguridad en Firefox, Thunderbird y SeaMonkey que podrían ser aprovechadas para evitar ciertas restricciones de seguridad, realizar ataques de tipo Cross Site Scripting (XSS), revelar información sensible, comprometer el sistema de un usuario.
Versiones Afectadas
Se ven afectadas por estas vulnerabilidades, los siguientes productos de Mozilla:
Thunderbird 2.x
Firefox 3.x
Firefox 2.0.x
SeaMonkey 1.1.x
Detalle
Pueden encontrarse los detalles de las vulnerabilidades en los sitios de Referencias.
Impacto
El impacto de las vulnerabilidades reportadas en todos los productos es ALTAMENTE CRÍTICO
Continuar leyendo este articulo »
Miércoles, 19 de Noviembre de 2008 | Bugs, Mozilla, Seguridad
Se han reportado múltiples vulnerabilidades en Mozilla Firefox (navegador de Internet), Mozilla Thunderbird (cliente de correo electrónico) y Mozilla SeaMonkey (suite), las cuales podrían ser aprovechadas por un usuario malicioso para efectuar diversos ataques, incluyendo ejecución de código arbitrario.
Versiones Afectadas
Se ven afectadas por estas vulnerabilidades las siguientes versiones:
- Mozilla Firefox 2.0.0.x anteriores a 2.0.0.18.
- Mozilla Firefox 3.0.x anteriores a 3.0.4.
- Mozilla Thunderbird 2.0.0.x anteriores a 2.0.0.18.
- Mozilla SeaMonkey 1.1.x anteriores a 1.1.13
- Recomendamos consultar el sitio del proveedor por información actualizada de los productos afectados por estas vulnerabilidades.
Detalle
Se han reportado varias vulnerabilidades en los productos Mozilla que podrían ser aprovechadas para realizar ataques de salteo de seguridad, exposición de información del sistema, exposición de información sensible y comprometer el sistema del usuario.
Continuar leyendo este articulo »
Domingo, 16 de Noviembre de 2008 | Actualización, Bugs, Mozilla
La Fundación Mozilla ha publicado múltiples actualizaciones para Thunderbird, Seamonkey y para las dos ramas de su navegador Firefox (2.x y 3.x). Las nuevas versiones corrigen múltiples fallos de seguridad que podrían permitir salto de restricciones, revelación de información sensible, denegaciones de servicio y ejecución de código arbitrario por parte de un atacante remoto, pudiendo comprometer un sistema vulnerable.
Las siguientes vulnerabilidades han sido calificadas como críticas por el equipo de Mozilla, ya que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario.
Continuar leyendo este articulo »
Jueves, 25 de Septiembre de 2008 | Actualización, Bugs, Mozilla, Seguridad
La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.
Continuar leyendo este articulo »
Viernes, 25 de Julio de 2008 | Actualización, Bugs, Mozilla, Seguridad
Finalmente Mozilla libera una versión actualizada de Thunderbird, que corrige al menos 8 vulnerabilidades, incluyendo las anunciadas al publicarse las nuevas versiones para Firefox 2.x y 3.x hace una semana.
Esta actualización, incluye la solución para el problema con hojas de estilo (CSS), que pueden permitir la ejecución remota de código. Este problema sería un desbordamiento de stack (stack overflow) al manejarse estructuras de hojas de estilo, y es compartido por Firefox.
Continuar leyendo este articulo »
Miércoles, 16 de Julio de 2008 | Actualización, Bugs, Mozilla, Seguridad
Dos actualizaciones críticas han sido anunciadas por Mozilla para Firefox 2.x y el nuevo 3.x, así como para otros productos. Sin embargo, no están disponibles para todos ellos a pesar del anuncio. Una tercera actualización es solo para usuarios de Mac OS, y únicamente afecta a Firefox 3.0.
Uno de los avisos de seguridad, alude a un error detectado a través del Zero Day Initiative (ZDI), un emprendimiento de TippingPoint, empresa perteneciente a 3Com, que premia a quienes encuentren vulnerabilidades en programas de uso habitual, siempre que se ceda en exclusiva los detalles de dicha vulnerabilidad. Estos fallos no son hechos públicos hasta que la empresa involucrada los corrige.
Continuar leyendo este articulo »
Miércoles, 2 de Julio de 2008 | Actualización, Bugs, Mozilla, Seguridad
Las versiones de Firefox 2.0.0.14 y anteriores, contienen una vulnerabilidad que puede permitir a un atacante la ejecución de código. Los usuarios que utilicen las versiones 2.0 de este navegador, deberán actualizarse a la brevedad posible a la versión 2.0.0.15, si no lo han hecho de forma automática.
El problema es un desbordamiento de búfer, y además de Firefox son afectados SeaMonkey y Epiphany, ya que utilizan el mismo componente afectado. Un ataque exitoso puede llegar a comprometer los sistemas donde estos programas se estén ejecutando. Esta vulnerabilidad no afecta a Firefox 3.
Continuar leyendo este articulo »