Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código. El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.
Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene. Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.
Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.


fuente

 

Sexydeath

Lanero Reconocido
Se unió
5 Feb 2006
Mensajes
372
Ya no me gusta Mozilla cada dia es más lento y anoche se congelaba y tocaba darle refresh al browser.
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Opera es perfecto ?

Si mal no recuerdo tuvieron un error bastante similar a principios de Noviembre del año pasado.
 

ADRIIAN

Lanero Reconocido
Se unió
6 Ene 2009
Mensajes
3,526
Lastima que este navegador se volvio tan famoso y asi los hacker lo atacan mas . antes era mi favorito pero ya tiene mucha vulneravilidad
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Los usuarios no tan avanzados pueden esperar hasta el principio de la proxima semana cuando saquen una actualizacion automatica
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Siempre he escuchado algo que me ha parecido muy tonto y lo he criticado como argumento inválido es eso de que

'la gran diferencia y ventaja del software libre y el código abierto' es que no habían muchos bugs ni fallas de seguridad debido a que existen millones de programadores revisando el código :)rolleyes:) y que en caso de encontrarse un bug habrían millones de programadores prestos a corregirlo de inmediato:)rolleyes:) y quedaría solucionado ...

me pregunto donde estaban esos millones de programadores... durmiendo? :muerto:
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Dicen q ya lo solucionaron, pero q van a colocar la actualizacion a principio de la proxima semana.

Es mejor asi q tener q esperar el segundo martes de cada mes.
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Dicen q ya lo solucionaron, pero q van a colocar la actualizacion a principio de la proxima semana.

Es mejor asi q tener q esperar el segundo martes de cada mes.

La actualizaciones de criticidad alta no salen en esas fechas, salen lo antes posible...

si recuerdan la ultima actualización crítica para IE7 salio al tercer día de detectada la falla...
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
Bueno toca esperar, van 2 dias :p. Seguro no trabajan los fines de semanas y por eso la van a dejar para el lunes xD
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
Bueno toca esperar, van 2 dias :p. Seguro no trabajan los fines de semanas y por eso la van a dejar para el lunes xD
bueno realmente eso no importa... obviamente lo solucionaran pronto


pero entonces donde queda la supuesta ventaja? si ms soluciono con apenas un puñado de programadores ( 3? -- 5?.... 1!!!?) el problema en tres días, porque el millón de programadores que según la teoria 'le siguen los pasos' al código fuente de firefox no lo han corregido y peor aún...

no lo detectaron antes y lo dejaron pasar de largo...? :muerto:
 

Tr0nad0r

Lanero Reconocido
Se unió
8 Mar 2004
Mensajes
7,762
El problema no es q no hayan visto el error o q no lo hayan solucionado porque de hecho si lo hicieron pocas horas despues de publicado el exploit y seguro fue un trabajo de 1 o 2 programadores. Lo de millones de programadores es mera exageracion de la misma comunidad, de esos si acaso habran unos cientos o unos pocos miles activos.

El problema es que hayan aplazado la nueva version y nos hayan dejado esperando a todos los usuarios por la actualizacion.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene.



Saludos :)
 

JuanKRuiz

Lanero Reconocido
Se unió
28 Dic 2007
Mensajes
2,402
El problema no es q no hayan visto el error o q no lo hayan solucionado porque de hecho si lo hicieron pocas horas despues de publicado el exploit y seguro fue un trabajo de 1 o 2 programadores. Lo de millones de programadores es mera exageracion de la misma comunidad, de esos si acaso habran unos cientos o unos pocos miles activos.

Bingo!
esa es la conclusión a la que quería llegara alguien diferente de mi mismo.

Aseveraría inclusive que los observadores externos activos se pueden medir en cientos o menos de cientos, y la cantidad de estos observadores con capacidad real para hallar el bug y mejor aún para corregirlo y que , por si fuera poco, tenga el medio directo de informar a mozilla y que ellos acepten su corrección 'de inmediato' ... es verdaderamente limitado tal vez a decenas o tal vez no sea ni una decena... :calma:
 

-sC-F1.Stürmer

Lanero Reconocido
Se unió
11 Oct 2005
Mensajes
2,587
Siempre he escuchado algo que me ha parecido muy tonto y lo he criticado como argumento inválido es eso de que

'la gran diferencia y ventaja del software libre y el código abierto' es que no habían muchos bugs ni fallas de seguridad debido a que existen millones de programadores revisando el código :)rolleyes:) y que en caso de encontrarse un bug habrían millones de programadores prestos a corregirlo de inmediato:)rolleyes:) y quedaría solucionado ...

me pregunto donde estaban esos millones de programadores... durmiendo? :muerto:


jajaja, eat that Firefox.

Utilizo Firefox 3.0.7
 
Arriba