sobre el grave agujero de seguridad en la máquina virtual de Javascript de Firefox. Ahora resulta que se trata de un hoax, ya que, si bien siguen investigando, lo único grave que produce el error es un cuelgue en el navegador y no se pudo probar que el atacante pueda ejecutar código arbitrario ni usarlo para denegación de servicio. Más info en http://kriptopolis.org/mozilla-investiga-el-ultimo-bug-de-firefox
#8 Pues como daños ninguno en Linux (en windows no sé), ahora tanto Firefox, Opera y Konqueror aparece el efecto de rebote de ventana por todo el escritorio y bloqueo. El efecto es distinto en cada navegador pero ya digo que se les indigesta a todos. Solución NoScript activado y desactivarlo para las pág confiables.
A mi no me abre ningun programa que yo no quiera. He estado analizando el codigo, y lo unico que hace es entrar en un bucle que intenta abrir diferentes protocolos (mailto:, news:, aim:, telnet:, ed2k:, irc:) por lo que el sistema abre las aplicaciones, si lo teneis configurado para que se las trague, claro.
El unico problema es que tienes que matar el firefox, porque tiene un while(1) que lo deja colgado, pero de ahi a que pueda ejecutar codigo arbitrario......... pues como que no. Tambien te puede abrir el mediaplayer o el realmedia. No veo que sea un problema.
#11 VMWare: Windows XP SP2 con todos los parches críticos + Firefox 1.5.0.7
Me abre outlook express sin pedir permiso porque esa página es una prueba de concepto ;). Con malas intenciones podría ejecutar cualquier aplicación que cuelgue en inet.
#8 Intenta abrir programas de irc, voip (callto://) y correo electrónico, probablemente con un applet que carga. Pero de ahi a ejecutar código arbitrario hay un trecho.
Comentarios
Xacto http://developer.mozilla.org/devnews/index.php/2006/10/02/update-possible-vulnerability-reported-at-toorcon/
#2 OK, sólo estaba leyendo la noticia por otro lado en donde se enlazaba a Mozilla, por eso puse ese enlace. Ni leí los enlaces que has puesto
Es que llevamos varias noticias sobre vulnerabilidades "a granel" en FFox que después demuestran ser poco menos que FUD
firefox-611-defectos-71-bugs-seguridad#comment-3
symantec-critica-a-firefox#comment-16
#1 Es que puse 3 enlaces. Hay dos que llevan al enlace que decís.
Esto no pasa con el I.Explorer cuando se anuncia una vulnerabilidad siempre suele ser peor de lo que se dice al principio...xD
#8 Pues como daños ninguno en Linux (en windows no sé), ahora tanto Firefox, Opera y Konqueror aparece el efecto de rebote de ventana por todo el escritorio y bloqueo. El efecto es distinto en cada navegador pero ya digo que se les indigesta a todos. Solución NoScript activado y desactivarlo para las pág confiables.
Uy y se te olvida la cañita que algunos le dieron en:
Mozilla quiere que Debian deje de usar el nombre "Firefox"
Mozilla quiere que Debian deje de usar el nombre &...
kbglob.comA mi no me abre ningun programa que yo no quiera. He estado analizando el codigo, y lo unico que hace es entrar en un bucle que intenta abrir diferentes protocolos (mailto:, news:, aim:, telnet:, ed2k:, irc:) por lo que el sistema abre las aplicaciones, si lo teneis configurado para que se las trague, claro.
El unico problema es que tienes que matar el firefox, porque tiene un while(1) que lo deja colgado, pero de ahi a que pueda ejecutar codigo arbitrario......... pues como que no. Tambien te puede abrir el mediaplayer o el realmedia. No veo que sea un problema.
ya decia yo que esta noticia me sonaba mucho a fake, como siempre Firefox demuestra ser el mas seguro.
saludos
Xyberbloger
No es falsa. Quien quiera comprobarlo puede abrir esta web con firefox. Declino cualquier responsabilidad de daños causados .
http://torrents.nimp.org
#9 Buen reporte. En windows te abre el outlook express entre otras cosas :).
#11 VMWare: Windows XP SP2 con todos los parches críticos + Firefox 1.5.0.7
Me abre outlook express sin pedir permiso porque esa página es una prueba de concepto ;). Con malas intenciones podría ejecutar cualquier aplicación que cuelgue en inet.
Ya me dirás que trecho hay .
#8 Intenta abrir programas de irc, voip (callto://) y correo electrónico, probablemente con un applet que carga. Pero de ahi a ejecutar código arbitrario hay un trecho.
Al final la verdad siempre sale a la luz.