Descubierta vulnerabilidad crítica en Firefox 3.5
Publicado el 16-7-2009 a las 11:00 por 
ZooTV
ZooTV 
Una importante vulnerabilidad de Firefox 3.5 salió a la luz antes que la gente de Mozilla publicara un parche. Se trata de una vulnerabilidad que se aprovecha de una nueva característica incorporada en Firefox 3.5, gracias a la cual se acelera el ritmo de ejecución de JavaScript, pero que a su vez es vulnerable a ataques.
Los atacantes pueden crear una página web que incluya código malicioso que se aproveche de la vulnerabilidad, por lo que se recomienda la desactivación de JIT (Just-In-Time) en el motor de Java siguiendo estos pasos:
- Escribir about:config en la barra del navegador
- Escribir jit en la caja del filtro en la parte superior del editor de configuración
- Hacer doble clic en la línea que contiene javascript.options.jit.content, para establecer el valor false
Hay que tener en cuenta que al deshabilitar JIT hacemos que el rendimiento de JavaScript disminuya, por lo que sólo se recomienda como una medida de seguridad temporal.
Una vez que se publique el respectivo parche para resolver el problema, se recomienda habilitar nuevamente JIT siguiendo los mismos pasos descritos anteriormente.
Link: Critical JavaScript vulnerability in Firefox 3.5 (Gracias Thomas)
Publicado por ZooTV el 16 de July 2009 en la categoría Destacados, Internet, Software con los tags Firefox 3.5, Javascript, Navegadores, Seguridad, Vulnerabilidad. Tiene 54 comentarios.
Compartir54 Comentarios
Descubierta vulnerabilidad crítica en Firefox 3.5
2John Zárate dijo el 16-7-2009 a las 11:08:
shit!… asi podrian propagar mas virus.. algo parecido a como se me metio sin descargar nada en el notebook el virus confliker
6Wirouuu dijo el 16-7-2009 a las 11:08:
Cuando salga un parche o catualizacion sera necesario regresar a la configuracion anterior?
Ver Comentario... Kaoz dijo el 16-7-2009 a las 11:13 ...
23Lucas Tañeda dijo el 16-7-2009 a las 11:28:
gracias fayerwayer, los que leemos todos los días este blog. Notificaciones como esta están muy bien……….
1xiriaco dijo el 16-7-2009 a las 11:31:
Pero para que una persona se infecte que tipo de navagacion tendria que realizar es decir tendria que estar el 90% en sites pornograficos o es posible que algun malintencionado coloque un enlace por ejemplo en algun foro y de esta forma puede aprobechar la vulneravilidad
Ver Comentario... pableins dijo el 16-7-2009 a las 11:37 ...
Ver Comentario... pinochet dijo el 16-7-2009 a las 11:39 ...
1cOaLa_ dijo el 16-7-2009 a las 12:08:
Lo preocupante es que jamas la hubiesen encontrado
Saludos
6Rodolfo dijo el 16-7-2009 a las 12:18:
Muy bien, ya hacia falta una buena de parte de FayerWayer.
Gracias
Ver Comentario... ByJC dijo el 16-7-2009 a las 12:20 ...
Ver Comentario... Marcelificus dijo el 16-7-2009 a las 12:26 ...
1ojos rojos dijo el 16-7-2009 a las 12:44:
bien creo que tenemos que esperar al parche para acelerar otra vez el java.
7DeosamoX dijo el 16-7-2009 a las 12:45:
Esta noticia tiene más años que nada… la vulnerabilidad no existe, fue solucionada antes que saliera 3.5
http://www.zonafirefox.net/2009/07/la-vulnerabilidad-en-firefox-35-ya-estaba-resuelta.html
1falcon dijo el 16-7-2009 a las 12:45:
porfa, podrian confirmar que NoScript evita esto?
Por lo que yo entiendo no debiera solucionarlo explicitamente, si no que simplemente al evitar que corran scripts sin autorizacion, no dejamos correr el codigo que podria aprovechar la vulnerabilidad, pero esta seguiria ahí.
que alguien me corrija si no plis.
2kaos dijo el 16-7-2009 a las 13:00:
Actualización (15 jul-16.11 h): aunque Secunia mantiene la alerta sobre el bug y en Mashable tampoco añaden nueva información al post, s3rg10p3l1gr0 nos avisa en los comentarios que en Zona Firefox se asegura que la vulnerabilidad estaba ya corregida incluso antes del lanzamieto de Firefox 3.5.
Actualización (16 jul-17.38 h): definitivamente, Mozilla admite el fallo y afirma que lo solucionará este fin de semana con una nueva actualización, Firefox 3.5.1.
-2kaos dijo el 16-7-2009 a las 13:01:
sorry por el doble post, pero la respuesta de arriba fue debido al comentario de @DeosamoX
0burrix dijo el 16-7-2009 a las 13:03:
hace muuucho que no escucho de vulnerabilidades en ie8… pero si en firefox.. qué está pasando con el navegador “más rápido y seguro”?
2Sebastian dijo el 16-7-2009 a las 13:05:
Ocupo IE 6 asi que no me importa jaja mentira, gracias por el dato.
-3Juan D. dijo el 16-7-2009 a las 13:08:
Que pena que la gente de Firefox no haya podido darse cuenta del error con sus 2 Release Candidates! Bueno dicen que ya arreglan el error con el Update al 3.5.1
1Brian dijo el 16-7-2009 a las 13:30:
Pero si esa vulnerabilidad ya fue parchada desde antes de anunciarse publicamente…
http://www.genbeta.com/navegadores/vulnerabilidad-muy-critica-detectada-en-firefox-35
0leviatan dijo el 16-7-2009 a las 13:33:
copiaron mal la noticia.
como dice @kaos, esto ya se sabia de antes y el parche esta listo de hace tiempo en la versión de FF 3.6
Ver Comentario... sr. anónimo dijo el 16-7-2009 a las 13:52 ...
4Alejandro dijo el 16-7-2009 a las 14:03:
@ Brian
La vulnerabilidad fue parchada para la versión en desarrollo (la versión 3.6). Para la versión 3.5 hay que hacer lo que dice la noticia de FW.
2Alejandro dijo el 16-7-2009 a las 14:07:
@sr. anónimo
Señor, usted tiene problemas de comprensión de lectura, lea bien la noticia que publica (pero completa).
El problema está resuelto siguiendo los pasos descritos.
Lea, infórmese y después postee.
Ver Comentario... Tu nombre aqui dijo el 16-7-2009 a las 14:56 ...
7Geek=Nerd=ñoño=WnSinVida dijo el 16-7-2009 a las 15:08:
mmm como que JAVA y Javascript son 2 cosas distintas eeeee….
Ver Comentario... pablo dijo el 16-7-2009 a las 15:58 ...
Ver Comentario... DeF3CoM dijo el 16-7-2009 a las 17:57 ...
6Sayex dijo el 16-7-2009 a las 18:48:
Hay que ser muy vaca para andar comparando safari con firefox xD
Y eso q no me gusta firefox.
5The Cellular dijo el 16-7-2009 a las 18:54:
Seguro que ya deben estar trabajando en el parche los ingenieros y me imagino que ya pronto se estará distribuyendo por medio de las actualizaciones de Software que tiene la página…
3Diego dijo el 16-7-2009 a las 22:25:
Ya salió la version 3.5.1 de Firefox, supongo q habrán arreglado la vulnerabilidad D:
Saludos
-1Moto dijo el 16-7-2009 a las 23:59:
El mejor skin para firefox que he encontrado es “Macosx theme”.
0Trox dijo el 17-7-2009 a las 00:22:
si se actualizo hoy solo a la version 3.5.1 …
seria todo con el bug
5Sriver dijo el 17-7-2009 a las 00:44:
Correcto esa version corrige el fallo presentado. Segun el Aviso MFSA 2009-41
Fixed in Firefox 3.5.1
MFSA 2009-41 Corrupt JIT state after deep return from native function
Saludos
0Alejandro Díaz dijo el 17-7-2009 a las 11:37:
Ya sabía de la nueva versión de Firefox, menos mal que siempre tomo la precaución de no migrar inmediatamente, sino hasta por lo menos unos dos o tres meses después…
1pablo dijo el 17-7-2009 a las 13:30:
ya estpa arreglado… a seguir usando firefox tranquila y profesionalmente ^^
-9sergio dijo el 17-7-2009 a las 13:44:
Alaben la basura de navegador ahora poh! FireFoxwayer o Firefoxwater!!!!!!! siempre se ha sabido que Firefox es una basura!!! Espero que la tropa de Nerds adictos a Firefox esconda la cola entre las piernas y se retire humillada ahora!
0NaNoX dijo el 17-7-2009 a las 14:38:
Ya está la actualización 3.5.1 de Firefox que corrige eso.
http://www.mozilla.org/security/announce/2009/mfsa2009-41.html
Deben cambiarlo de nuevo porque no lo actualiza.
Saludos!! y gracias por la información 
0Disponible Firefox 3.5.1 « topofobia dijo el 17-7-2009 a las 15:00:
[...] dejar un comentario » Acabo de instalarlo. Estaba escuchando algo de música y vi que el cartelito del update parpadeaba. No recuerdo que Firefox lanzara una nueva versión en tan poco tiempo. Me pase al 3.5 hace tan sólo unos días. Aparentemente se debe a algunos dolores de cabeza que tuvieron la gente de Mozilla. [...]
0Firefox solucionó falla de seguridad con nueva versión : Blogografia dijo el 17-7-2009 a las 20:19:
[...] Ayer les contamos que la flamante versión 3.5 de Firefox tenía un grave problema de seguridad: una vulnerabilidad que se aprovecha de una nueva característica, gracias a la cual se acelera el ritmo de ejecución de JavaScript, pero que a su vez es susceptible a los ataques. [...]
Deja tu Comentario
Artículos Relacionados
En 10 segundos toman el control de un Mac gracias a Safari
Descubren falla de seguridad en Safari
Revelan una grave falla en el algoritmo MD5 
Clickjacking: Lo que todos callan pero muchos ya saben
Firefox 3.5 finalmente disponible en chileno, español, mexicano y argentino
¿Qué hay de nuevo Firefox 3.5?
Firefox 3.5 RC2 ya está disponible
Descubierta vulnerabilidad en Adobe Reader
Troyano se aprovecha de una vulnerabilidad de Excel
Opera promete el motor JavaScript más rápido del mercado
Chrome 1.0: El navegador con el peor sistema de protección de contraseñas
Windows Vista presenta una vulnerabilidad en su Kernel
Av. Providencia 929, Piso 4, Providencia, Santiago de Chile
— 
Tel: +56 (2) 367 7701
fayerwayer@betazeta.com [
