[SA21906]Múltiplas Vulnerabilidades no Firefox
As vulnerabilidades descobertas no Firefox podem permitir a execucao de ataques do tipo man-in-the-middle, ataques de cross-site scripting e ate' mesmo a execucao de codigo malicioso no sistema vulneravel, podendo assim compromete-lo. A seguir uma breve descricao dos 7 alertas publicados pela Mozilla Foundation: 1) Um erro no tratamento de expressoes regulares na linguagem JavaScript pode ser explorado para causar um estouro de pilha na memoria do sistema, podendo permitir a execucao de codigo arbitrario no mesmo. 2) Devido 'a utilizacao de SSL no mecanismo de atualizacao do Firefox, caso o usuario tenha aceitado um certificado SSL auto-assinado e nao verificado, o processo de atualizacao pode ser direcionado para um site malicioso, podendo permitir a execucao de um ataque do tipo man-in-the-middle. 3) Alguns erros encontrados na exibicao de textos no navegador podem corromper a memoria do sistema e permitir a execucao de codigo malicioso no sistema afetado. 4) Um erro existe no processo de verificacao de assinaturas no pacote da biblioteca Network Security Services (NSS). 5) Um erro de cross-domain pode ser explorado para injetar codigo HTML arbitrario e codigos na forma de scripts em um sub-frame de um outro website via a chamada "[window].frames[index].document.open()". 6) Existe um erro nos pop-ups bloqueados quando eles sao abertos atraves da barra de status do navegador, na funcionalidade "blocked popups". Os pop-ups podem ser abertos em um contexto incorreto, podendo permitir a execucao de codigo HTML arbitrario e codigos na forma de scripts no browser do usuario. 7) Alguns erros de corrompimento de memoria nao especificados podem ser utilizados para executar codigo malicioso no sistema afetado. Sistemas afetados: . Mozilla Firefox 0.x . Mozilla Firefox 1.x Correcoes disponiveis: Recomenda-se fazer a atualizacao para as versoes disponiveis em: . Mozilla Firefox 1.5.0.7 (todos os idiomas e sistemas) http://www.mozilla.com/firefox/all.html * Normalmente tambem e' possivel atualizar o Mozilla Firefox atraves da opcao "Check for Updates...", disponivel no menu "Help" do proprio software. Mais informacoes: . Mozilla Firefox Multiple Vulnerabilities (SA21906) http://secunia.com/advisories/21906/ . SANS ISC Handler's Diary September 15th 2006 - Get your fresh Firefox updates http://www.isc.sans.org/diary.php?storyid=1702 . Known Vulnerabilities in Mozilla Products - Fixed in Firefox 1.5.0.7 http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.7
Categories: Uncategorized
ubuntu-br
Cara, o que você acha de levar esses anúncios para uma lista específica, e assim deixarmos o planeta para posts sobre outros assuntos?
Abraço,
Aloha,
Também não acho que o Planeta seja o melhor lugar para isso. Eu entendo o Planeta como um local de colunistas, que publicam textos próprios, com suas próprias análises e não copiar e colar conteúdo de outras fontes.
Esse teu anúncio tá mais ligado ao projeto AgenciaDeNoticias do que o Planeta.
Eu também acho que essas listas estão fugindo do propósito do planeta, não que elas sejam ruim, mas fogem um pouco do contexto. Talvez você possa separar os posts que vão para o planeta e aí tu deixa esse tipo de mensagem para quem visita seu blog diretamente.
[]’s
gostaria de saber pq o meu firefox vem com a opção de fazer downloads dos updates desabilitado???????
Alguem me da uma luz ai… Tb não consegui fazer a instalação do flash automaticamente… Tive que fazer na mão!!!! Espero resposta… valeu!
Não recebi resposta sobre a atualizção do Firefox… Mais como todo bom usuario do pinguim corremos atras do problema… No meu caso eu fiz o download da ultima versão do firefox e extrai… Foi criada uma pasta FIREFOX ai eu copiei a pasta para /usr/lib/… Substitui os arquivos e ai pronot…É só executar o firefox como root e habilitar a opção de download das atualizações do firefox… qualquer duvida tucson.heringer@gmail.com
Discordo!
Tenho isso como um alerta… é bom que nos faz lembrar das nossas atualizações. Isso não foge do tema… está falando sobre Linux, Ubuntu… vulnerabilidades.
[]’s
Amigos,
Acho que não é interessante o envio destas notificações para o planeta. O mesmo é mais direcionado ao público iniciante/intermediário. Mesmo que fosse direcionado ao público avançado, ainda é pequena a parcela deste grupo que tem o interesse em ver as últimas security announcementes.
Acho que é interessante a utilização de uma lista específica, assim como já ocorre na ubuntu-security-announce (lista cujo assino).
Abraços,
Júlio