Descubierta vulnerabilidad crítica en Firefox 3.5
Publicado el 16-7-2009 a las 11:00 por 
ZooTV
ZooTV 
Una importante vulnerabilidad de Firefox 3.5 salió a la luz antes que la gente de Mozilla publicara un parche. Se trata de una vulnerabilidad que se aprovecha de una nueva característica incorporada en Firefox 3.5, gracias a la cual se acelera el ritmo de ejecución de JavaScript, pero que a su vez es vulnerable a ataques.
Los atacantes pueden crear una página web que incluya código malicioso que se aproveche de la vulnerabilidad, por lo que se recomienda la desactivación de JIT (Just-In-Time) en el motor de Java siguiendo estos pasos:
- Escribir about:config en la barra del navegador
- Escribir jit en la caja del filtro en la parte superior del editor de configuración
- Hacer doble clic en la línea que contiene javascript.options.jit.content, para establecer el valor false
Hay que tener en cuenta que al deshabilitar JIT hacemos que el rendimiento de JavaScript disminuya, por lo que sólo se recomienda como una medida de seguridad temporal.
Una vez que se publique el respectivo parche para resolver el problema, se recomienda habilitar nuevamente JIT siguiendo los mismos pasos descritos anteriormente.
Link: Critical JavaScript vulnerability in Firefox 3.5 (Gracias Thomas)
Publicado por ZooTV el 16 de July 2009 en la categoría Destacados, Internet, Software con los tags Firefox 3.5, Javascript, Navegadores, Seguridad, Vulnerabilidad. Tiene 54 comentarios.
Compartir54 Comentarios
Descubierta vulnerabilidad crítica en Firefox 3.5
2John Zárate dijo el 16-7-2009 a las 11:08:
shit!… asi podrian propagar mas virus.. algo parecido a como se me metio sin descargar nada en el notebook el virus confliker
6Wirouuu dijo el 16-7-2009 a las 11:08:
Cuando salga un parche o catualizacion sera necesario regresar a la configuracion anterior?
Ver Comentario... Kaoz dijo el 16-7-2009 a las 11:13 ...
23Lucas Tañeda dijo el 16-7-2009 a las 11:28:
gracias fayerwayer, los que leemos todos los días este blog. Notificaciones como esta están muy bien……….
1xiriaco dijo el 16-7-2009 a las 11:31:
Pero para que una persona se infecte que tipo de navagacion tendria que realizar es decir tendria que estar el 90% en sites pornograficos o es posible que algun malintencionado coloque un enlace por ejemplo en algun foro y de esta forma puede aprobechar la vulneravilidad
Ver Comentario... pableins dijo el 16-7-2009 a las 11:37 ...
Ver Comentario... pinochet dijo el 16-7-2009 a las 11:39 ...
1cOaLa_ dijo el 16-7-2009 a las 12:08:
Lo preocupante es que jamas la hubiesen encontrado
Saludos
6Rodolfo dijo el 16-7-2009 a las 12:18:
Muy bien, ya hacia falta una buena de parte de FayerWayer.
Gracias
Ver Comentario... ByJC dijo el 16-7-2009 a las 12:20 ...
Ver Comentario... Marcelificus dijo el 16-7-2009 a las 12:26 ...
1ojos rojos dijo el 16-7-2009 a las 12:44:
bien creo que tenemos que esperar al parche para acelerar otra vez el java.
7DeosamoX dijo el 16-7-2009 a las 12:45:
Esta noticia tiene más años que nada… la vulnerabilidad no existe, fue solucionada antes que saliera 3.5
http://www.zonafirefox.net/2009/07/la-vulnerabilidad-en-firefox-35-ya-estaba-resuelta.html
1falcon dijo el 16-7-2009 a las 12:45:
porfa, podrian confirmar que NoScript evita esto?
Por lo que yo entiendo no debiera solucionarlo explicitamente, si no que simplemente al evitar que corran scripts sin autorizacion, no dejamos correr el codigo que podria aprovechar la vulnerabilidad, pero esta seguiria ahí.
que alguien me corrija si no plis.
2kaos dijo el 16-7-2009 a las 13:00:
Actualización (15 jul-16.11 h): aunque Secunia mantiene la alerta sobre el bug y en Mashable tampoco añaden nueva información al post, s3rg10p3l1gr0 nos avisa en los comentarios que en Zona Firefox se asegura que la vulnerabilidad estaba ya corregida incluso antes del lanzamieto de Firefox 3.5.
Actualización (16 jul-17.38 h): definitivamente, Mozilla admite el fallo y afirma que lo solucionará este fin de semana con una nueva actualización, Firefox 3.5.1.
-2kaos dijo el 16-7-2009 a las 13:01:
sorry por el doble post, pero la respuesta de arriba fue debido al comentario de @DeosamoX
0burrix dijo el 16-7-2009 a las 13:03:
hace muuucho que no escucho de vulnerabilidades en ie8… pero si en firefox.. qué está pasando con el navegador “más rápido y seguro”?
2Sebastian dijo el 16-7-2009 a las 13:05:
Ocupo IE 6 asi que no me importa jaja mentira, gracias por el dato.
-3Juan D. dijo el 16-7-2009 a las 13:08:
Que pena que la gente de Firefox no haya podido darse cuenta del error con sus 2 Release Candidates! Bueno dicen que ya arreglan el error con el Update al 3.5.1
1Brian dijo el 16-7-2009 a las 13:30:
Pero si esa vulnerabilidad ya fue parchada desde antes de anunciarse publicamente…
http://www.genbeta.com/navegadores/vulnerabilidad-muy-critica-detectada-en-firefox-35
0leviatan dijo el 16-7-2009 a las 13:33:
copiaron mal la noticia.
como dice @kaos, esto ya se sabia de antes y el parche esta listo de hace tiempo en la versión de FF 3.6
Ver Comentario... sr. anónimo dijo el 16-7-2009 a las 13:52 ...
4Alejandro dijo el 16-7-2009 a las 14:03:
@ Brian
La vulnerabilidad fue parchada para la versión en desarrollo (la versión 3.6). Para la versión 3.5 hay que hacer lo que dice la noticia de FW.
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →
Deja tu Comentario
Artículos Relacionados
En 10 segundos toman el control de un Mac gracias a Safari
Descubren falla de seguridad en Safari
Revelan una grave falla en el algoritmo MD5 
Clickjacking: Lo que todos callan pero muchos ya saben
Firefox 3.5 finalmente disponible en chileno, español, mexicano y argentino
¿Qué hay de nuevo Firefox 3.5?
Firefox 3.5 RC2 ya está disponible
Descubierta vulnerabilidad en Adobe Reader
Troyano se aprovecha de una vulnerabilidad de Excel
Opera promete el motor JavaScript más rápido del mercado
Chrome 1.0: El navegador con el peor sistema de protección de contraseñas
Windows Vista presenta una vulnerabilidad en su Kernel
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
Ver Todos Páginas: [1] 2 Próximos 30 Comentarios →