Se ha descubierto una vulnerabilidad importante en Firefox 3.5, y al momento de escribir este post Mozilla todavía no sacó un parche oficial para la misma.
El fallo permite al atacante ejecutar código arbitrario en la máquina afectada. Esta vulnerabilidad, que podría afectar a versiones anteriores del navegador también, es causada por un error en la gestión al procesar código JavaScript. Y el ataque se puede efectuar utilizando etiquetas HTML que corrompen la memoria y dejan la vía libre para la ejecución de código arbitrario.
Mientras esperamos que Mozilla libere el parche o una actualización, hay una solución temporal muy sencilla de aplicar. Solo hay que tipear about:config en la barra de direcciones y darle enter. Allí, cambiamos el valor de la entrada javascript.options.jit.content a “false”, y listo.
Vía: Genbeta
Actualización: Desde Mozilla han lanzado la versión Firefox 3.5.1 que entre otros problemas soluciona esta vulnerabilidad relacionada con el motor de JavaScript. Recomendable instalarla para evitar posibles intrusiones y demás.
AVER SI SE INFORMAN MEJOR MUCHACHOS…
http://www.zonafirefox.net/2009/07/la-vulnerabilidad-en-firefox-35-ya-estaba-resuelta.html
Bitelia ya no sabe qué hacer para atraer visitantes. Lamentable, porque el blog es muy bueno pero cuando sacan sus artículos sensacionalistas…
AMARILLO PATITO
¡El fin del mundo! ¡Todos a sus bunkers!
Bueno chicos, creo que se sobreentiende: grave para un navegador, no grave estilo atentado terrorista en un jardín de infantes! :P
Más grave es dar la noticia errónea. El fallo sí existe, pero si encima ya estaba solucionado lo menos era mencionarlo y corregirlo.
ya perdi la credibilidad en bitelia
una pregunta urgente… este problema tambien pasa en el firefox 2 .20
Ya esta la actualización la descargue hoy supongo que la pondrán mañana aquí dejo el enlace para todos los operativos.
ftp://ftp.mozilla.org/pub/mozilla.org/firefox/releases/3.5.1/
Ya ha salido oficialmente la actualización que corrigue el fallo:
http://www.zonafirefox.net/2009/07/firefox-351-disponible.html
Estuve leyendo la noticia y la verdad es que todo es confuso, incluso entre aquellos que intentan aclarar la situación.
Por ejemplo, algunos dicen que la solución ya existía antes que se hiciera pública la vulnerabilidad, lo cual es cierto, pero otros han entendido eso como equivalente a que el problema no existe. El problema es real, como se lee en el propio artículo aclaratorio, aunque se dice que la vulnerabilidad fue solucionada el mismo día que se detectó, la solución fue para la futura versión 3.6, luego (no dice cuántos días después pero se puede calcular, recién salió un parche para la versión 3.5, sumando 1+1 resulta que esta versión es vulnerable hasta que le apliques el parche oficial o cualquiera de las recomendaciones que han hecho Bitelia y otros sitios a través de about:config. Mientras, la pregunta cae por su propio peso ¿lo has hecho? Si la respuesta es no entonces sigues vulnerable.
Recien en la versión 3.5.1 el parche vendrá incorporado al instalable. Eso figura en los comentarios de la noticia de referencia.
Por lo demás, aunque la vulnerabilidad es grave, quienes tenemos instalado NoScript, una vez más, contamos con una capa más de protección.
Ya está la versión 3.5.1 que resuelve ese fallo :)
Saludos