El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denomindo
"JS_NINDYA.A", con objeto de propagar malware.'
'Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores
a Vista.
Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.'
Fuente y noticia completa: Una al día de Hispasec de 28/10/2010
Actualización de seguridad que corrige la vulnerabilidad ya disponible
'Se ha publicado un arreglo para esta vulnerabilidad para los usuarios de Firefox y Thunderbird.
Están disponibles las actualizaciones de seguridad Firefox 3.6.12 y 3.5.15
* Firefox 3.6.12: http://firefox.com
* Firefox 3.5.15: http://www.mozilla.com/firefox/all-older.html
Están también ya disponibles las actualizaciones de seguridad Thunderbird 3.1.6 y 3.0.10'
Fuente y noticia original completa en inglés: ISC de SANS 28/10/2010
Traducción nuestra
Enlace externo relacionado:
Entradas
No hay comentarios:
Publicar un comentario