Vulnerabilidad crítica en Netscape, Mozilla y Firefox

Escrito por Javier Sanz
Software

Una vulnerabilidad reportada como crítica ha sido identificada en los navegadores Netscape, Mozilla y Firefox, la cuál podría ser explotada por un atacante remoto para la ejecución arbitraria de comandos. El problema se debe a un error de desbordamiento de búfer en la función "NormalizeIDN", cuando se procesan ciertas URIs especialmente modificadas, embebidas dentro de etiquetas "HREF". El uso de ciertos caracteres, puede hacer que el navegador deje de responder, o inclusive permitir que se llegue a ejecutar código malicioso.

Fuente > ADSLZone

Continúa leyendo
Comentarios
11 comentarios
  1. jose-X-lito 11 Sep, 05 3:54 pm

    Eso pa que veamos que no por tener determinados productos, estamos a salvo.

    Espero que salga el nuevo FireFox pronto y tenga menos problemas ^^

  2. Anónimo
    Usuario no registrado
    11 Sep, 05 5:14 pm

    menos mal que ultimamente solo salian de explorer

  3. Anónimo
    Usuario no registrado
    11 Sep, 05 11:44 pm

    Mi nuevo Opera no se ve afectado? Alguien lo sabe?

    Si no es así ole ole! mi nuevo Opera! 😀

  4. Anónimo
    Usuario no registrado
    12 Sep, 05 2:51 am

    ya lo dije opera roolz

  5. PyroFlash 12 Sep, 05 11:14 am

    Al menos, como podeis ver, Mozilla nos informa de los bugs que tiene su navegador y enseguida ha sacado una solucion provisional.

    Es normal que un navegador tenga bugs pero no es normal lo que hacen en Microsoft o Opera por ejemplo, que o no te informan de este hasta que no lo sacan por ahi o no actualizan hasta pasados 3 meses, cuando ya me puedo meter yo en tu ordenador.

  6. Anónimo
    Usuario no registrado
    12 Sep, 05 1:28 pm

    Firefox es un coladero desde siempre y cuanta mas gente lo use pues más se notará . Lo que no puede ser es que con cuatro líneas de código de haga un explorador super-mega-fashion . Cada 2×3 estáis igual , al final váis a petar todos 🙂 . Usad lo que veáis mejor y suerte porque no tenéis solución , si queréis estar al día de errores de todo tipo pues os suscribiis a un boletín y veréis la cantidad de errores que salen cada día de línux , navegadores , windows , servidores y de toooo. Que si que Firefox es lo que mas mola ahora junto a móviles superfahion y demás paridas … al tiempo .

    Hispasec – una-al-día 11/09/2005
    Todos los días una noticia de seguridad http://www.hispasec.com
    ——————————————————————-

    Desbordamiento de búfer en Firefox 1.x por fallo en tratamiento de URLs
    ———————————————————————–

    Se ha descubierto una vulnerabilidad en la versión 1.0.6 (y
    anteriores) del navegador Firefox que puede ser explotada por usuarios
    maliciosos para provocar denegaciones de servicio en dicho programa o,
    potencialmente, para comprometer el sistema del usuario.

    Firefox es el navegador web del proyecto Mozilla, un producto de
    creciente popularidad creciente, con más de 70 millones de descargas.

    La vulnerabilidad en sí se debe a un error en el tratamiento de URLs
    con determinados caracteres en el nombre de dominio, y puede ser
    explotada para provocar desbordamientos de búfer basados en el heap.

    La explotación con éxito de la vulnerabilidad provocaría la caída de
    Firefox, y potencialmente podría ser también utilizada para la
    ejecución de código arbitrario. Para la explotación exitosa se requiere
    que la víctima visite un sitio web malicioso o abra un documento
    HTML especialmente construido a tal efecto.

    Puede observarse una prueba de concepto de la denegación de servicio
    en la siguiente URL (precaución, termina la ejecución del navegador):
    http://www.security-protocols.com/firefox-death.html

    A parte de la versión 1.0.6 y anteriores para Linux y Windows, la
    versión 1.5 Beta 1 también se ve afectada por el problema.
    MUY IMPORTANTE :
    ¡¡¡¡¡ A la espera de un parche que solvente el problema o una nueva versión
    libre de la vulnerabilidad, se recomienda restringir la navegación a
    sitios de total confianza !!!!!!!

    Allá tu xD