Últimas noticias
- Usuarios de Skype afectados por ransomware en anuncios maliciosos 01-Abr-2017
- Java y Flash encabezan la lista programas más obsoletos 31-Mar-2017
- Apple soluciona error en Safari usado en ataques de ransomware 28-Mar-2017
- Utilizan botnet GiftGhostBot para robar saldos de tarjetas de regalo 28-Mar-2017
- Expertos señalan que hay archivos sensibles expuestos en Docs.com 28-Mar-2017
- Spammers modifican archivos RTF para ocultar malware 27-Mar-2017
- Estafas de bitcoins infestan las redes sociales 25-Mar-2017
Errores críticos en Firefox, SeaMonkey y Thunderbird
Mozilla ha lanzado parches críticos a fallas en plugins de Firefox, Firefox ESR, SeaMonkey y Thunderbird que habían dejado a los usuarios expuestos a ataques.
Las correcciones se refieren a Firefox 35, Firefox ESR 31.4, SeaMonkey 2.32 y Thunderbird 31.4.
Las correcciones clave cubren vulnerabilidades críticas en la sandbox del plugin de comunicaciones de Gecko, read-after-free (plugin) de WebRTC y una serie de funciones de riesgo de seguridad en memoria.
Mozilla mencionó que la falla Gecko fue descubierta por el investigador de seguridad 'Nils', la falla es peligrosa, ya que afecta tanto a los sistemas Windows como Linux.
"La sandbox GMP (Gecko media Plugin) actualmente sólo se utiliza para alojar la reproducción de video h.264 utilizando el plugin OpenH264, pero está siendo desarrollado para utilizarse en otros plugins de comunicación", explicó Mozilla. "Este error podría permitir a un atacante escapar o evitar la sandbox GMP si otro fallo explotable se encuentra en un plugin de comunicación GMP y éste le permitiera poner en peligro el proceso."
La falla WebRTC fue descubierta por el investigador de seguridad Mitchell Harper y afecta a Firefox, Firefox ESR y SeaMonkey.
"Harper descubrió una read-after-free en WebRTC debido a la forma en que se manejan las pistas. Esto se traduce en un accidente potencialmente explotable o comportamiento WebRTC incorrecto", decía el aviso.
Los peligros de seguridad de memoria se refieren a una serie de errores descubiertos por Mozilla.
"Algunos de estos bugs (errores) mostraron evidencia de corrupción de memoria en determinadas circunstancias y suponemos que, con el suficiente esfuerzo, al menos algunos de ellos podrían ser explotados para ejecutar código arbitrario", dijo la firma.
No está claro si alguno de los defectos eran explotados por atacantes, aunque el Equipo de Respuesta a Incidentes de Cómputo de Estados Unidos (US-CERT) ha emitido una advertencia pidiendo a los administradores de TI instalar los parches tan pronto como sea posible.
"La Fundación Mozilla ha lanzado actualizaciones de seguridad para hacer frente a múltiples vulnerabilidades en Firefox, Firefox ESR, SeaMonkey y Thunderbird. La explotación de estas vulnerabilidades podría permitir a un atacante remoto tomar el control de un sistema afectado", decía el aviso del US-CERT.
"Animamos a los usuarios y administradores a revisar las Asesorías Security para Firefox, Firefox ESR, SeaMonkey y Thunderbird, además de aplicar las actualizaciones necesarias."
Las correcciones siguen un acalorado debate en la comunidad de seguridad sobre cómo las empresas de tecnología deben divulgar y corregir las vulnerabilidades.
