Las versiones de Firefox 2.0.0.14 y anteriores, contienen una vulnerabilidad que puede permitir a un atacante la ejecución de código. Los usuarios que utilicen las versiones 2.0 de este navegador, deberán actualizarse a la brevedad posible a la versión 2.0.0.15, si no lo han hecho de forma automática.
El problema es un desbordamiento de búfer, y además de Firefox son afectados SeaMonkey y Epiphany, ya que utilizan el mismo componente afectado. Un ataque exitoso puede llegar a comprometer los sistemas donde estos programas se estén ejecutando. Esta vulnerabilidad no afecta a Firefox 3.
Pero además, Firefox 2.0.0.15 corrige al menos otras 11 vulnerabilidades, las cuáles pueden provocar desde fallos del programa, hasta la posibilidad de ejecución de código. Algunos fallos pueden ser aprovechados para otra clase de ataques, por ejemplo phishing.
La solución es actualizarse a la versión 2.0.0.15. La versión 3.0, como dijimos, no es vulnerable al problema más grave de los indicados, ni a otras de las vulnerabilidades mencionadas. Sin embargo, algunas de ellas si lo afectan, pero la mayoría son mitigadas por el nuevo modelo de seguridad aplicado (ventanas de confirmación, etc.).
Firefox 2.0.0.15 está disponible para descarga manual, o a través de la actualización automática.
Última versión NO vulnerable:
- Firefox 2.0.0.15
Descarga de Firefox 2.0.0.15 en español:
http://releases.mozilla.org/pub/mozilla.org/firefox/releases/2.0.0.15/win32/es-ES/
Referencias:
MFSA 2008-33 Crash and remote code execution in block reflow
http://www.mozilla.org/security/announce/2008/mfsa2008-33.html
MFSA 2008-32 Remote site run as local file via Windows URL shortcut
http://www.mozilla.org/security/announce/2008/mfsa2008-32.html
MFSA 2008-31 Peer-trusted certs can use alt names to spoof
http://www.mozilla.org/security/announce/2008/mfsa2008-31.html
MFSA 2008-30 File location URL in directory listings not escaped properly
http://www.mozilla.org/security/announce/2008/mfsa2008-30.html
MFSA 2008-29 Faulty .properties file results in uninitialized memory being used
http://www.mozilla.org/security/announce/2008/mfsa2008-29.html
MFSA 2008-28 Arbitrary socket connections with Java LiveConnect on Mac OS X
http://www.mozilla.org/security/announce/2008/mfsa2008-28.html
MFSA 2008-27 Arbitrary file upload via originalTarget and DOM Range
http://www.mozilla.org/security/announce/2008/mfsa2008-27.html
MFSA 2008-25 Arbitrary code execution in mozIJSSubScriptLoader.loadSubScript()
http://www.mozilla.org/security/announce/2008/mfsa2008-25.html
MFSA 2008-24 Chrome script loading from fastload file
http://www.mozilla.org/security/announce/2008/mfsa2008-24.html
MFSA 2008-23 Signed JAR tampering
http://www.mozilla.org/security/announce/2008/mfsa2008-23.html
MFSA 2008-22 XSS through JavaScript same-origin violation
http://www.mozilla.org/security/announce/2008/mfsa2008-22.html
MFSA 2008-21 Crashes with evidence of memory corruption (rv:1.8.1.15)
http://www.mozilla.org/security/announce/2008/mfsa2008-21.html
Más información:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html
Mozilla.org Security Center
http://www.mozilla.org/security/
(c) Video Soft – http://www.videosoft.net.uy
(c) VSAntivirus – http://www.vsantivirus.com