2 de Febrero, 2006

Disponible Mozilla Firefox 1.5.0.1

Por marcelo-ar - 2 de Febrero, 2006, 4:53, Categoría: General

Firefox 1.5.0.1 es una actualización de estabilidad y seguridad.
Se recomienda a todos los usuarios de Firefox que actualicen a esta versión.

Descarga Firefox 1.5.0.1, todos los idiomas, [es-ES] Español España y [es-AR] Español Argentina:
http://www.mozilla.com/firefox/all.html

Firefox 1.5.0.1 versión ZIP no instalable (Nightly 2006-01-11-13 equivalente a versión final):
firefox-1.5.0.1.en-US.win32.zip

Descarga desde sitio ftp:
http://mozilla.osuosl.org/pub/mozilla.org/firefox/releases/1.5.0.1/

Release Notes (en inglés):
http://www.mozilla.com/firefox/releases/1.5.0.1.html

Changelog:
http://www.squarefree.com/burningedge/releases/1.5.0.1.html

Entrada relacionada:
Mozilla Firefox 1.5.0.1 resuelve múltiples vulnerabilidades

[Actualizado 04/05/2006]: Añadido enlace a versión ZIP no oficial y artículo relacionado de fecha posterior.

Descubierta primer vulnerabilidad en Internet Explorer 7.0 Beta 2 (urlmon.dll DoS)

Por marcelo-ar - 2 de Febrero, 2006, 1:51, Categoría: General

Tom Ferris estuvo probando e IE 7.0 Beta 2, y luego de 15 minutos de testeo encontró una vulnerabilidad en el mismo.

Estos son los detalles:

Existe una vulnerabilidad del tipo DoS en Microsoft Internet Explorer 7.0 Beta 2 la cual permite a un atacante ocasionar el cuelgue del navegador, o bien ejecutar código arbitrario.

Al abrir un archivo .html especialmente alterado, urlmon.dll procesa incorrectamente el 'BGSOUND SRC=file://---' (aproximadamente 344 guiones) y ocasiona un crash (fallo del programa).

El siguiente código html generará el fallo:

> <BGSOUND
> SRC=file://---------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> --------------------------------------------------------------------------------
> ---------------------------------- >
 (">" colocados delante intencionalmente)

PoC (prueba de concepto) que ocasiona el cuelgue del navegador:
http://www.security-protocols.com/poc/sp-x23.html

Tom Ferris ha reportado este fallo a Microsoft

Solución temporaria sugerida  por Tom Ferris:
Utilizar Mozilla Firefox

Créditos:
Tom Ferris

Ref.:

Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://security-protocols.com/modules.php?name=News&file=article&sid=3169

Advisory: Internet Explorer 7.0 Beta 2 urlmon.dll DoS
http://www.security-protocols.com/advisory/sp-x23-advisory.txt

Firefox: Fallo en validación de propiedad '-moz-binding' permite ataques Cross Domain Scripting

Por marcelo-ar - 2 de Febrero, 2006, 1:27, Categoría: General

Se ha descubierto una vulnerabilidad en los navegadores Mozilla, la cual podría ser explotada por atacantes remotos para traspasar restricciones de seguridad y obtener información sensible.

Este fallo es debido a un error de validación de origen al procesar ciertas Hojas de Estilo en Cascada CSS (Cascading Style Sheets) y documentos HTML que contengan la propiedad "-moz-binding" especialmente alterada utilizada en conjunción con el lenguaje XBL (eXtensible Bindings Language) , lo cual podría ser explotado por sitios maliciosos para ocasionar que código script malicioso sea ejecutado en el navegador bajo el contexto de seguridad de un dominio arbitrario, y así obtener acceso a información de cookies.

Productos afectados:
Mozilla Firefox 1.5 y anteriores
Mozilla Suite 1.7.12 y anteriores

Ref.:
FrSIRT/ADV-2006-0403
Mozilla Browsers CSS "moz-binding" Cross Domain Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/0403

SecurityTracker Alert ID:  1015553
Mozilla Firefox '-moz-binding' Property Validation Flaw Lets Remote Users Conduct Cross-Domain Scripting Attacks
http://securitytracker.com/id?1015553

Bugzilla Bug 324253
CVE-2006-0496 Do something about the XSS issues -moz-binding introduces
https://bugzilla.mozilla.org/show_bug.cgi?id=324253

El Blog

Calendario

<<   Febrero 2006  >>
LMMiJVSD
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28      

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker