Cuidadín con Firefox 3.5
Supongo que a estas alturas muchos hemos probado ya la nueva versión del navegador Firefox (Iceweasel en Debian), y hemos podido observar las mejoras, al menos, en el uso de cpu y RAM.
Sin embargo, hay que tener en cuenta que es una versión recién liberada y, estando en el campo de los navegadores, hay que gastar especial cuidado en los posibles problemas de seguridad que tenga (y que irán apareciendo ya). Por poner un ejemplo, ayer leía en Hispasec
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Quizá merezca la pena esperar a que haya un backport para lenny, o que esta versión entre en sid para comenzar a utilizarlo...
Enviado por elav el 17 Julio, 2009 - 13:41.
Supongo que a estas alturas muchos hemos probado ya la nueva versión del navegador Firefox (Iceweasel en Debian), y hemos podido observar las mejoras, al menos, en el uso de cpu y RAM.
Sin embargo, hay que tener en cuenta que es una versión recién liberada y, estando en el campo de los navegadores, hay que gastar especial cuidado en los posibles problemas de seguridad que tenga (y que irán apareciendo ya). Por poner un ejemplo, ayer leía en Hispasec
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Quizá merezca la pena esperar a que haya un backport para lenny, o que esta versión entre en sid para comenzar a utilizarlo...
Pues me parece que esa noticia es vieja, lee esto por favor, además ayer Mozilla lanzó la versión 3.5.1 que corrige ciertos bugs.
Enviado por sebas el 17 Julio, 2009 - 15:25.
Supongo que a estas alturas muchos hemos probado ya la nueva versión del navegador Firefox (Iceweasel en Debian), y hemos podido observar las mejoras, al menos, en el uso de cpu y RAM.
Sin embargo, hay que tener en cuenta que es una versión recién liberada y, estando en el campo de los navegadores, hay que gastar especial cuidado en los posibles problemas de seguridad que tenga (y que irán apareciendo ya). Por poner un ejemplo, ayer leía en Hispasec
Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.
Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador. Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y "aprovechar" así la creciente cuota de mercado de usuarios de Firefox.
El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas ("font", entre ellas) HTML.
No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de "0 day", aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.
Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).
Quizá merezca la pena esperar a que haya un backport para lenny, o que esta versión entre en sid para comenzar a utilizarlo...
Pues me parece que esa noticia es vieja, lee esto por favor, además ayer Mozilla lanzó la versión 3.5.1 que corrige ciertos bugs.
Que pega esto de meter noticias ya viejas en la portada de esdebian... 
Enviado por hsierra el 18 Julio, 2009 - 14:37.
En todo caso la advertencia no esta de más. En ocasiones uno se cree que puede navegar por la red impunemente por usar un sistema GNU/Linux, pero hay cosas que ni el sistema más seguro puede evitar, y es que un usuario siga un link. Por eso muchos dicen que la capa más vulnerable de un sistema informático es la capa 8; aunque tomando en cuenta que la mayoría de las redes usa el modelo TCP/IP, deberíamos decir que es la capa 5. 
Enviado por jam el 18 Julio, 2009 - 18:33.
Quitando que el anuncio es antiguo. ¿Alguien utiliza etiquetas en HTML hoy en día, teniendo CSS?
Enviado por hsierra el 18 Julio, 2009 - 22:52.
Quitando que el anuncio es antiguo. ¿Alguien utiliza etiquetas en HTML hoy en día, teniendo CSS?
Quien sabe, quizás pocos. Pero si quieres hacer uso del exploit tendrías que empezar por diseñar una pagina web para tal fin. ¿O no?
Enviado por jam el 19 Julio, 2009 - 14:51.
Quitando que el anuncio es antiguo. ¿Alguien utiliza etiquetas en HTML hoy en día, teniendo CSS?
Quien sabe, quizás pocos. Pero si quieres hacer uso del exploit tendrías que empezar por diseñar una pagina web para tal fin. ¿O no?
Cierto 
Enviado por Bytes el 21 Julio, 2009 - 13:34.
Me parece que no esta de mas preocuparse por la seguridad del navegador por excelencia, por lo menos para mi. Pero esta noticia creo que es mas preocupante para la gente que usa Windows, ya que ellos son los que sufren problemas con virus/malware/spyware y demases :P. Entre otras cosas si tienen instalado el TraceMonkey lo deshabilitan por un tiempo al menos. Saludos
