25 de Noviembre, 2005

Encuesta del SANS ISC: ¿Es dificil desactivar Javascript?

Por marcelo-ar - 25 de Noviembre, 2005, 22:38, Categoría: General

Como se sabe, la grave vulnerabilidad javascript window() que afecta a Internet Explorer, se evita desactivando Javascript (ActiveX en el IE).
El
SANS Internet Storm Center está realizado una encuesta sobre este tema para los visitantes a su sitio.

"How hard is it to disable Javascript?"

http://isc.sans.org/poll.php?pollid=78&results=Y

Estos son los resultados de la encuesta por el momento:

¿Qué tan difícil es desactivar JavaScript?


51%: Difícil. Demasiados sitios lo requieren para trabajar correctamente
20%: Lo habilito para determinados sitios que lo requieren
12%: ¿Cómo puedo habilitar/inhabilitar Javascript?
9%: Fácil. Tengo Javascript desactivado en todos los sitios.
7%: Desactivo Javascript para determinados sitios en los cuales no confío.

Total de respuestas: 1374 (al 25/11/2005, 22:38 hs. arg.)

(los datos lo actualizaré una vez finalizada la encuesta)

Si bien Mozilla Firefox no esta afectado en particular por esta grave vulnerabilidad, no es posible, como en el IE, activar/desactivar Javascript en forma selectiva para cada sitio, sin embargo, esto se puede llevar a cabo mediante la extensión NoScript que nos permite definir una "lista blanca" de sitios a los cuales se les permite ejecutar JavaScript:

NoScript para Firefox y Mozilla:
http://www.noscript.net/

Considerando que muchos problemas de seguridad ya parcheados en Firefox se evitaban desactivando JavaScript, esta extensión NoScript es ideal para quienes necesiten aún mayor seguridad al navegar con Firefox, estando protegidos de la explotacion de vulnerabilidades aún desconocidas.

Conocido medio uruguayo reporta vulnerabilidad inexistente en Firefox

Por marcelo-ar - 25 de Noviembre, 2005, 0:10, Categoría: General

A pesar de que un conocido y muy popular medio de Uruguay reporta que Firefox está afectado parcialmente por la grave vulnerabilidad que afecta al navegador de Microsoft, esto no es correcto.
Se trata de un problema distinto, que ya ha sido reportado a Bugzilla.

Varios integrantes de la lista de correo Full-disclosure, probaron el 0day exploit "prueba de concepto" para la grave vulnerabilidad JavaScript Window() que afecta a Internet Explorer, y observaron que Firefox dejaba de responder, lo cual se interpreta como una Denegación de Servicio (DoS).

Como muy bien apunta Daniel Veditz (de la Fundación Mozilla), Firefox deja de responder por "cierto tiempo", luego de lo cual mostrará un cuadro de diálogo y continuará normalmente (donde "cierto tiempo" significa algunos minutos).

Este bug existente en Firefox (distinto a la grave vulnerabilidad que afecta al IE), solo tiene como consecuencia que el navegador deje de responder por algunos minutos.

Solución:
Dada la intrascendencia de este bug, al momento de publicar este post, nadie se encuentra trabajando en su resolución.

Créditos:
Reportado a Bugzilla por Bernd <bernd_mozilla at gmx.de>

Referencias:
[Full-disclosure] Computer Terrorism Security Advisory (Reclassification) - Microsoft Internet Explorer JavaScript Window() Vulnerability
Daniel Veditz dveditz at cruzio.com
Tue Nov 22 16:57:06 GMT 2005
http://lists.grok.org.uk/pipermail/full-disclosure/2005-November/038984.html

Bugzilla Bug 317334
hang when long wrappable string is passed to prompt() [e.g. as used in the exploit for IE's <body onload=window()> bug]
https://bugzilla.mozilla.org/show_bug.cgi?id=317334

Nota: Esta noticia la iba a poner ayer, seguramente con otro título ;-) , pero debido a que "mi querido ISP" me dejó sin conexión a Internet, no me fue posible hacerlo sino hasta hoy. :-(

El Blog

Calendario

<<   Noviembre 2005  >>
LMMiJVSD
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30     

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker