exploit

No ha sido una muy buena semana para el navegador de Mozilla. Si el miércoles tenían que lanzar actualizaciones de las versiones 3.0 y 3.5 de su navegador para cubrir cinco agujeros graves, ahora sale a la luz una vulnerabilidad 0-day en la última versión, la 3.6.

La empresa de seguridad Secunia reportaba ayer esta vulnerabilidad, clasificada como muy grave ya que permite la ejecución de código arbitrario dejando nuestro ordenador en riesgo. Además, ya cuenta con un exploit publicado en Internet, que, aunque sólo está disponible previo pago, es probable que tarde poco en ser difundido.

Como siempre, la solución hasta que Mozilla saque un parche, que normalmente suele ser poco tiempo, es visitar únicamente sitios de confianza y no hacer click en enlaces sospechosos.

Vía | CNET News
Más Información | Secunia Advisory

Sigue el Month of Kernel Bugs, el proyecto que cada día muestra un nuevo problema de seguridad en los núcleos de los diferentes sistemas operativos y, aunque no vamos a publicar aquí todos, si que nos gusta echarle un vistazo a los más interesantes, especialmente si afectan a Mac OS X, ya que este es un núcleo que, en general, ha sido poco atacado hasta hoy.

Como el último que veíamos, el bug tiene el potencial de ejecutar código arbitrario con totales privilegios. Se produce al intentar ejecutar un archivo ejecutable convenientemente modificado.

¿Cuales son las posibles consecuencias finales de esto? Una de ellas sería su uso por parte de usuarios sin privilegios para conseguir una cuenta con más permisos. La otra sería el uso de este bug por parte de aplicaciones, en principio no dañinas, pero que lo aprovechan para instalar malware, es decir, el típico caballo de troya.

Así que toca esperar a que Apple tenga a punto las actualizaciones lo antes posible.

Vía | Kernel Fun.

Hay graciosos y luego hay los muy graciosos. Todo esto hablando irónicamente, claro. El otro día contábamos que un par de investigadores habían descubierto una grave vulnerabilidad en Firefox que permitía la ejecución remota de código gracias a un fallo en el interprete de Javascript que, además según ellos, era casi imposible de subsanar.

Pues resulta que tal vulnerabilidad, en realidad, no existe. Si que existe un problema que provoca el “cuelgue” del navegador, pero no han conseguido ejecutar código a través de esa vulnerabilidad. Según la nota de una de ellos, la conferencia debía tomarse como “humorística”. Hombre, es una manera de decirlo, la otra es decir que “era mentira”.

Un punto a favor de Firefox, siempre es bueno que se descarte una vulnerabilidad de este tipo. De todas formas, el equipo de desarrollo sigue investigando el problema para prevenir males mayores en caso que alguien descubra realmente que ese error si se puede utilizar para ejecutar código.

A seguir navegando tranquilos con Firefox. Por ahora…

Vía | Hispasec.
En Genbeta | Problemas de seguridad en Firefox e Internet Explorer.