Una vulnerabilidad del tipo "Zero day" (día cero), o sea hecha publica antes de que el problema haya sido solucionado, afecta al navegador Firefox, incluyendo su última versión 1.5.0.2 publicada hace apenas unos días.


Por Angela Ruiz
angela@videosoft.net.uy


En principio, el problema puede ocasionar el fallo del programa, aunque también podría ser utilizado para la introducción de código malicioso en el sistema afectado.

El agujero fue reportado en Bugzilla la pasada semana (18/04/06), y puede ser utilizado para provocar el fallo del programa mediante el envío de código JavaScript modificado maliciosamente.

La vulnerabilidad estaría provocada por un desbordamiento de búfer que afecta los componentes JS320.DLL y XPCOM_CORE.DLL.

Una prueba de concepto ha sido publicada recientemente en Internet (24/04/06).


Software afectado:

- Mozilla Firefox 1.5.0.2 (todas las plataformas)

Posiblemente versiones anteriores también sean afectadas.


Soluciones:

No se conocen soluciones oficiales al momento de esta alerta. Se recomienda deshabilitar JavaScript.


Sugerencias:

Cómo medida de precaución, el lector noSign nos sugiere la instalacion del plugin o extension NoScript en Firefox:

Extension NoScript:
https://addons.mozilla.org/extensions/moreinfo.php?id=722


Referencias:

Mozilla Firefox Denial of Service PoC
http://www.milw0rm.com/exploits/1716
http://www.securident.com/vuln/ff.txt


Créditos:

Splices
Spiffomatic64
Securident Technologies


FUENTE : http://www.vsantivirus.com/vul-firefox-240406.htm