viernes, 29 de octubre de 2010

0-day en el navegador Mozilla Firefox explotado activamente. Actualización de seguridad que corrige la vulnerabilidad ya disponible

'Se ha detectado la explotación activa de una vulnerabilidad desconocida que afecta al navegador Mozilla Firefox en las versiones 3.5 y 3.6.

El 0-day fue descubierto por el equipo de Trend-Micro, el cual informó que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denomindo
"JS_NINDYA.A", con objeto de propagar malware.'


'Dicho script explota la mencionada vulnerabilidad y aunque afecta al navegador Firefox en las versiones 3.5 y 3.6, tan solo intenta su explotación en la versión 3.6 sobre Windows en versiones anteriores
a Vista.

Mozilla está trabajando en una solución para esta vulnerabilidad, por lo que en breve podría estar disponible una nueva versión del navegador. Recomiendan, mientras tanto, el uso de la extensión NoScript para mitigar el riesgo de exposición hasta que la solución vea la luz.'

Fuente y noticia completa
: Una al día de Hispasec de 28/10/2010

Actualización de seguridad que corrige la vulnerabilidad ya disponible

'Se ha publicado un arreglo para esta vulnerabilidad para los usuarios de Firefox y Thunderbird.

Están disponibles las actualizaciones de seguridad Firefox 3.6.12 y 3.5.15
* Firefox 3.6.12: http://firefox.com
* Firefox 3.5.15: http://www.mozilla.com/firefox/all-older.html

Están también ya disponibles las actualizaciones de seguridad Thunderbird 3.1.6 y 3.0.10'

Fuente y noticia original completa en inglés: ISC de SANS 28/10/2010
Traducción nuestra

Enlace externo relacionado:

No hay comentarios: