Vulnerabilidad inexistente en Firefox (history.dat)

Por marcelo-ar - 9 de Diciembre, 2005, 2:23, Categoría: General

La Fundación Mozilla emitió un comunicado con referencia al exploit publicado que ocasiona el fallo de Firefox mediante la manipulación del archivo "history.dat".

Según la Fundación Mozilla, este fallo no es tal, ya que al iniciar el navegador, luego de leer la información del "history.dat" alterado por el exploit, éste no fallará sino que tomará más tiempo del normal en iniciarse, lo cual puede llevar varios minutos en un computador lento.
La demora al iniciar persistirá hasta tanto el archivo history.dat sea removido o eventualmente expire.

Según las investigaciones realizadas, no encuentran bases para que se afirme que variantes de este tipo de ataque puedan ocasionar un fallo explotable, sobre el cual no se ha presentado ninguna evidencia.

Para terminar, afirman que no existe riesgo alguno para los usuarios, excepto la aparente falta de respuesta del navegador al iniciar.

Comunicado de la Fundación Mozilla:
Long-title temporary startup unresponsiveness
(Falta de respuesta temporaria al iniciar por título extenso)
http://www.mozilla.org/security/history-title.html

Evidentemente, no se trata de una Denegación de Servicio (DoS) o de una vulnerabilidad explotable.
A idéntica conclusión llegó con anterioridad SecuriTeam luego de investigar el problema, e incluso critican a SecurityFocus por divulgar información inexacta y colaborar a que los medios reporten esto como una vulnerabilidad:

SecuriTeam Blogs: Information Concerning Reported FireFox Vulnerability
http://blogs.securiteam.com/index.php/archives/134

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker