Corrigen el 0 day para Mozilla firefox
Mozilla ha publicado una actualización de seguridad para el navegador
Firefox que corrige una vulnerabilidad que podría permitir a un atacante
remoto ejecutar código arbitrario.
La vulnerabilidad se publicó en el Pwm2Own, un concurso dentro del
contexto de la conferencia de seguridad CanSecWest, donde se compite por
ser el primero en explotar los principales navegadores y teléfonos
móviles.
Un investigador alemán de MWR InfoSecurity llamado Nils encontró una
vulnerabilidad en Firefox concretamente un fallo de corrupción de
memoria al mover nodos de un árbol DOM entre documentos.
Nils encontró una forma de mover un nodo reteniendo el ámbito anterior y
provocando que el objeto fuese liberado erróneamente en cierto instante
durante la recolección de memoria, posteriormente se usa el puntero lo
que posibilita la ejecución de código arbitrario.
Nils también fue el mismo que gano los premios correspondientes a
Internet Explorer, Firefox y Safari de la edición del Pwm2Own de 2009.
La vulnerabilidad con CVE-2010-1121 ha sido corregida en la versión
3.6.3. Mozilla ha informado que aunque la vulnerabilidad solo está
presente en la rama 3.6 publicará un parche para la 3.5 ya que podría
llegar a ser factible, mediante una forma alternativa a la presentada,
explotar la vulnerabilidad.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4179/comentar
Más información:
Re-use of freed object due to scope confusion - MSFA-2010-25
http://www.mozilla.org/security/announce/2010/mfsa2010-25.html
David García
dgarcia@hispasec.com
- bitfrost's blog
- Login to post comments
- 3355 reads
Comentarios recientes
8 years 27 weeks ago
8 years 51 weeks ago
8 years 51 weeks ago
8 years 51 weeks ago
10 years 14 weeks ago
11 years 22 weeks ago
11 years 22 weeks ago
11 years 23 weeks ago
12 years 18 weeks ago
12 years 26 weeks ago