Skip to content

Alerta: Graves vulnerabilidades en Mozilla Firefox permiten la ejecución remota de código arbitrario

Publicado por Sergio Hernando el 18 febrero 2010

Buenas,

Parece que el mes viene calentito en lo que a seguridad de navegadores se refiere. Hace poco estaba en el candelero Internet Explorer, y hoy le toca subir a la palestra a Firefox.

Según veo en este advisory de Secunia, Firefox padece un problema de seguridad de bastante gravedad. En el enlace se apunta al foro de Inmunity Inc donde se puede apreciar que la comunicación inicial data de comienzos de Febrero, momento en que el código de explotación fue incorporado a VulnDisco Pack 9.0, un módulo de la popular suite de pentesting Immunity's Canvas. No hay mucha información al respecto, pero parece que el problema afecta a la versión 3.6 y posiblemente a las anteriores. Según la gente de Inmunity el código necesita cierto trabajo para funcionar, pero por las pruebas que han realizado parece bastante estable. No tengo tampoco constancia de que el código haya sido liberado públicamente, lo cual no me extraña lo más mínimo, ya que la exclusividad es un aliciente para los potenciales compradores de Canvas que perdería su sentido si el código estuviera públicamente disponible.

A este problema hay que añadir otros problemas de extrema gravedad que también podrían propiciar el compromiso de la máquina de las víctimas. Estos problemas (ver enlace) pueden ser solucionados instalando las versiones 3.0.18 o 3.5.8 que fueron liberadas ayer mismo. Aunque parece que estas versiones no resuelven el primero de los problemas que os comento, es más que sensato actualizar para prevenir daños mayores, o al menos para reducir la exposición ante ataques.

Como no podía ser de otro modo, habida cuenta de que la seguridad no está garantizada sin que estos problemas sean resueltos, es de recibo desaconsejar el uso de Mozilla Firefox hasta que dispongáis de versiones actualizadas, especialmente para el primero de los problemas que hemos comentado, sobre el cual no tengo más información y para el que de momento, no hay parche disponible.

Un saludo,

Be Sociable, Share!

Categoría/s → Alertas

6 comentarios
  1. 19 febrero 2010
    Supercoco permalink

    Pues parece ser, según tuexpertoIT.com, que <a href="http://www.tuexpertoit.com/2010/02/18/zeus-un-virus-tipo-botnet-que-afecta-a-2-500-empresas-en-todo-el-mundo/&quot; Firefox está detrás de la botnet Zeus.

    Señores, ¡se abrió la veda del Firefox!

  2. 19 febrero 2010
    Supercoco permalink

    Pues parece ser, según tuexpertoIT.com, que Firefox está detrás de la botnet Zeus.

    Señores, ¡se abrió la veda del Firefox!

    Perdón por el doble post, pero no he podido, o no he sabido, editar el anterior.

    Y ya aprovecho: desde hace una temporada no va el RSS, por lo menos desde el maligno IE ;p.

  3. 20 febrero 2010
    The Catcher in the Rye permalink

    http://secunia.com/advisories/38608
    “The vulnerability is caused due to an unspecified error and can be exploited to execute arbitrary code.”

    Ey!!! que viene el lobo!!!

    Y mientras los aldeanos corrian despavoridos el joven no podía parar de reir…

    :-/

  4. 22 febrero 2010
    CentOS permalink

    Parece que el tal exploit del FF 3.6 es una farsa:

    “Hello, I’ve bought VulnDisco 9.0 and tested the FireFox 0-day-exploit.
    It did NOT (!!!) work with FireFox 3.6 and 3.5.8 at WindowsXP SP3 and at WindowsVista SP2.
    [Honestly I think that exploit is just a hoax, an good advertisment trick – Secunia (http://secunia.com/advisories/38608/) believed it without testing it by themselves]”

    Sacado de: https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/

  5. 22 febrero 2010

    Dado que actualmente no hay mucha Info sobre el codigo en cuestión (puesto que al parecer no se ha hecho publico) no creo que los Usuarios de Firefox deban de estar en alerta roja. Básicamente lo digo por 2 cuestiones:

    1º-No hay mucha Info del como explotar la vulnerabilidad y 2º-ademas el cogido no se ha hecho publico por parte de la empresa de seguridad Rusa http://intevydis.com/ autora del programa Immunity CANVAS Professional.

    Yo recomiendo seguir utilizando el navegador hasta esperar la reacción de los chicos de Mozilla, ademas Sergio ya describe el como paliar los efectos de la vulnerabilidad de una forma provisional.

  6. 22 febrero 2010
    visitante permalink

    This report seems to be a hoax. At the Forum-Post, some users already write that the exploit does not work. Secunia seems to did not test it, but just used the information written by some unserious “russian security researcher” (aka. blackhat hacker) who wants to sell his product.

    Source: http://secunia.com/advisories/38608

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS