La actualización 2.0.0.10 para Firefox de Mozilla está aún en pruebas y no se lanzará al público general hasta la semana que viene. Antes, la compañía ha convocado para este viernes un “día de pruebas” en el que invita a la comunidad Firefox a testear el navegador para garantizar su calidad.
El problema de seguridad que este parche pretende solucionar fue detectado el pasado febrero pero ganó mayor difusión a principios de este mes cuando el analista de vulnerabilidades web Petko Petkov señaló en su blog que el defecto podía utilizarse para lanzar ataques de tipo XSS (cross-site scripting), basados en la explotación de vulnerabilidades del sistema de validación de HTML incrustado, contra el navegador Firefox.
Este defecto está relacionado con el hecho de que Firefox no revisa adecuadamente los archivos comprimidos en formato .jar (Java Archive). Los atacantes podrían infiltrar código malicioso en los documentos .jar que luego serían ejecutados por la víctima.
Pocos días después de que Petkov informar de su hallazgo, otro investigador llamado “Bedford” mostró cómo este ataque podría lanzarse contra los usuarios de Google, dándoles acceso a las cuentas de Gmail de las víctima, las búsquedas en Google y otros datos confidenciales almacenados en la web del buscador.
“Esto significa que los atacantes pueden acceder a cualquier lugar de Google y hacer lo que quieran con tu perfil y tu presencia online”, escribía Petkov en su blog. Aunque las vulnerabilidades de las que informan Petkov y Bedford están relacionadas con el modo en el que Firefox trata los archivos .jar, Mozilla los considera cuestiones independientes y ambas se repararán con la versión 2.0.0.10 que se liberará la próxima semana. Además, la compañía prepara la beta de Firefox 3.0.
El problema de seguridad que este parche pretende solucionar fue detectado el pasado febrero pero ganó mayor difusión a principios de este mes cuando el analista de vulnerabilidades web Petko Petkov señaló en su blog que el defecto podía utilizarse para lanzar ataques de tipo XSS (cross-site scripting), basados en la explotación de vulnerabilidades del sistema de validación de HTML incrustado, contra el navegador Firefox.
Este defecto está relacionado con el hecho de que Firefox no revisa adecuadamente los archivos comprimidos en formato .jar (Java Archive). Los atacantes podrían infiltrar código malicioso en los documentos .jar que luego serían ejecutados por la víctima.
Pocos días después de que Petkov informar de su hallazgo, otro investigador llamado “Bedford” mostró cómo este ataque podría lanzarse contra los usuarios de Google, dándoles acceso a las cuentas de Gmail de las víctima, las búsquedas en Google y otros datos confidenciales almacenados en la web del buscador.
“Esto significa que los atacantes pueden acceder a cualquier lugar de Google y hacer lo que quieran con tu perfil y tu presencia online”, escribía Petkov en su blog. Aunque las vulnerabilidades de las que informan Petkov y Bedford están relacionadas con el modo en el que Firefox trata los archivos .jar, Mozilla los considera cuestiones independientes y ambas se repararán con la versión 2.0.0.10 que se liberará la próxima semana. Además, la compañía prepara la beta de Firefox 3.0.