Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll)
 
VSantivirus No. 2118 Año 10, jueves 27 de abril de 2006

Vulnerabilidad en Firefox (js320.dll/xpcom_core.dll)
http://www.vsantivirus.com/vul-firefox-240406.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad del tipo "Zero day" (día cero), o sea hecha publica antes de que el problema haya sido solucionado, afecta al navegador Firefox, incluyendo su última versión 1.5.0.2 publicada hace apenas unos días.

En principio, el problema puede ocasionar el fallo del programa, aunque también podría ser utilizado para la introducción de código malicioso en el sistema afectado.

El agujero fue reportado en Bugzilla la pasada semana (18/04/06), y puede ser utilizado para provocar el fallo del programa mediante el envío de código JavaScript modificado maliciosamente.

La vulnerabilidad estaría provocada por un desbordamiento de búfer que afecta los componentes JS320.DLL y XPCOM_CORE.DLL.

Una prueba de concepto ha sido publicada recientemente en Internet (24/04/06).


Software afectado:

- Mozilla Firefox 1.5.0.2 (todas las plataformas)

Posiblemente versiones anteriores también sean afectadas.


Soluciones:

No se conocen soluciones oficiales al momento de esta alerta. Se recomienda deshabilitar JavaScript.


Sugerencias:

Cómo medida de precaución, el lector noSign nos sugiere la instalacion del plugin o extension NoScript en Firefox:

Extension NoScript:
https://addons.mozilla.org/extensions/moreinfo.php?id=722


Referencias:

Mozilla Firefox Denial of Service PoC
http://www.milw0rm.com/exploits/1716
http://www.securident.com/vuln/ff.txt


Créditos:

Splices
Spiffomatic64
Securident Technologies



[Última modificación: 27/04/06 12:49 -0300]




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS