Podrían permitir ejecutar código arbitrario sin requerir la interacción del usuario
Podrían permitir ejecutar código arbitrario sin requerir la interacción del usuario
La Primera de ellas está relacionada con la inadecuada protección de las URLs con JavaScript en Iframes. La segunda tiene que ver con deficiencias en la verificación del parámetro IconUrl en InstallTrigger.install().
Con una combinación de ambos se podría ejecutar código arbitrario sin autorización explícita del usuario y con ciertos privilegios sobre el sistema.
Se pueden ver los detalles en la web de Secunia y una explicación detallada de cómo trabaja el exploit.
Aunque aún no hay un parche oficial, se presume que Mozilla sacará en los próximos días la versión 1.0.4 corrigiendo los agujeros. Pero mientras tanto, aunque en un principio se decía que había que desactivar el Javascript como medida preventiva, leo en Mozillazine que es suficiente con desactivar temporalmente la opción que permite a los sitios web instalar programas.
Para eso habrá que ir a:
Opciones(herramientas) > Preferencias > Características Web y desactivar la casilla “Permitir a los sitios web instalar programas”.
Aunque, según se dice ahí mismo, debido a algunos cambios hechos en MozillaUpdate, tampoco habrá problema si sólo se tienen a los sitios update.mozilla.org y addons.mozilla.org en la lista de permitidos, que es como viene por defecto el Firefox.
Esperemos que las actualizaciones no tarden, pues una de las características señaladas entre las más importantes del open source es justamente la capacidad de reaccionar con rapidez ante el descubrimiento de un bug, sobretodo si implica fuertes riesgos para la seguridad. ¿O no es lo que le reclamamos tanto a Microsoft y su Internet Explorer?.
De todas maneras veo que se recomienda desactivar el JavaScript y en Mozilla Update recomiendan también no dar permisos de instalación a los sitios web, sino que si se quiere instalar una extensión se haga manualmante como medida preventiva.
De todas formas no cambio a Firefox por el asco de I.E. de Moco$oft, sigue siendo muy seguro y lo uso mucho en mi cafe internet, en donde los problemas por instalacion involuntaria de basura y la aparicion de ventanas indeseadas han desaparecido. Es de esperar pronta respuesta por parte de los genios de Mozilla. Todos a FF ¡¡¡ .
Salu2 desde Bogota.
Muchas gracias por alertarnos de estas vulnerabilidades.
Yo de momento no permito descargar cosas ni de mozilla mismo con Firefox.. just in case 😉
De verdad que ya han reaccionado rapido ya que desde que salio firefox tengo mas confianza en navegar en la internet
saludos desde Puerto Rico
sera interesante ver la rapidez de reaccion de los desarrolladores para corregir el error
A pesar de estos pequeños fallos, prefiero usar FireFox que la basura de navegador que ofrece Micro$oft…Gracias
La idea de esta nota no es alarmar a nadie, sino sobretodo informar para que todos los que utilizamos este maravilloso navegador tomemeos las medidas necesarias para no ser afectados.
Porque hay que decirlo, esta es la primera vez que se reporta un agujero de consideración en Firefox.
Pero yo también estoy a la espectativa de la velocidad con que Mozilla pueda reaccionar para corregir estas vulnerabilidades. De eso dependerá la fidelización de sus usuarios y sería un maravilloso precedente para los que aún continúan utilizando en Internet Explorer y no terminan de decidirse por cambiar.
estas fallas si que son criticas,, yo nunca me fio.
todo software cuando yega a ser usado por mucha gente, tambien corre el riesgo de que busquen bugs a sus lineas de codigo
Mira que es difícil encotrar fallos en un chupete . Pues toma fallos cuando crezca el chupete será un petardo
Pero aun sigue siendo SUPER MEJOR que el del mocosoft, pues creo que este sistema esta en los mejores y con lo mejores.
😉
Saludos
SuperMejor que QUE ? que dices chaval si esto no llega ni a navegador . Es lo mas cutre que he visto nunca
Bueno.. por si acaso, esta noticia quedó obsoleta sólo cuatro días (¿o menos?) después de publicarse.
Firefox ya corrigió sus dos vulnerabilidades en tiempo récord. Lo podemos ver en una nota más actual:
http://www.maestrosdelweb.com/actualidad/2246/
Eso es un buen servicio. Como ya dije en la nota. Ahora me siento mucho más seguro con mi Firefox.