Se han reportado múltiples vulnerabilidades en Mozilla Firefox las cuales podrían ser explotadas por atacantes remotos para colapsar o evadir restricciones de seguridad en un sistema afectado, ganar acceso al sistema, realizar ataques de Cross Site Scripting y denegación de servicio (DoS).


Versiones Afectadas
Son afectadas por estas vulnerabilidades:

Mozilla Firefox 1.x
Mozilla Firefox 2.0.x


Detalle
Un atacante puede explotar múltiples vulnerabilidades en Mozilla Firefox para colapsar o evadir restricciones de seguridad en un sistema afectado, ganar acceso al sistema, realizar ataques de Cross Site Scripting (XSS)y denegación de servicio (DoS). Algunas de las vulnerabilidades reportadas podrían permitir ejecutar código arbitrario de forma remota.  
  

Impacto
El impacto de estas vulnerabilidades es CRITICO.

  
Recomendaciones
Se recomienda actualizar a las últimas versiones disponibles:

Mozilla Firefox 2.0.0.2 o 1.5.0.10.  


Referencias
Mozilla:
http://www.mozilla.org/security/announce...07-08.html
http://www.mozilla.org/security/announce...07-07.html
http://www.mozilla.org/security/announce...07-06.html
http://www.mozilla.org/security/announce...07-05.html
http://www.mozilla.org/security/announce...07-04.html
http://www.mozilla.org/security/announce...07-03.html
http://www.mozilla.org/security/announce...07-02.html
http://www.mozilla.org/security/announce...07-01.html

US-CERT:
http://www.kb.cert.org/vuls/id/551436
http://www.kb.cert.org/vuls/id/269484



Saludos!!..

El principal bug crítico identificado por Mozilla es que ante la caída o culgues del programa puede llevar a la corrupción de la memoria. Con el debido esfuerzo por parte de un atacante, al menos una de ellas podría ser explotada para procesar código arbitrario.

Otro de los bugs importantes es "Embedded nulls in location.hostname confuse some-domain checks" y fue también corregida. Este bug fué descubierto por el investigador polaco en seguridad Michal Zalewski y podría permitir que desde una página maliciosa se configuren cookies de dominio para un sitio arbitrario. Esto permitiría configurar document.domain a un valor arbitrario que podría ser usado en un ataque XSS contra cualquier página que también configure document.domain.

Otras tres brechas, consideradas como de riesgo moderado, fueron corregidas por Mozilla. Una es la de information disclosure, otra es una que abre popups bloqueados y la otra es una potencial condición de overflow de buffer en conexión SSL.
Fuente: Datamation.

Este mensaje fue modificado por última vez en: 02-26-2007 09:51 PM por p_eter.

Ya esta disponible para la descarga Swiftfox 2.0.0.2,
la optimización de firefox para varios micros:
http://getswiftfox.com/installer.htm