Mozilla confirma la existencia de un fallo crítico en Firefox
Mozilla ha confirmado una vulnerabilidad crítica en la versión más reciente de Firefox, Firefox 3.6, y ha dicho que podría tener el parche para cubrirla a finales de mes.
El parche no será añadido a Firefox antes del concurso de hacking Pwn2Own, que se celebrará la próxima semana y no se permitirá a los investigadores trabajar con el fallo. “Se ha determinado que se trata de una vulnerabilidad crítica que podría resultar en la ejecución de código remota por parte de un atacante, ha reconocido Mozilla en una entrada de su blog de seguridad. “El parche ha sido ya desarrollado y actualmente estamos llevando a cabo pruebas sobre su calidad”, continúa la compañía.
Firefox 3.6, la versión afectada, fue introducida por Mozilla y, según la compañía, podría ser parcheada a través de la versión 3.6.2, cuyo lanzamiento está previsto para el próximo 30 de marzo.
La brecha fue puesta al descubierto por el investigador ruso Evgeny Legerov hace un mes a través de un mensaje en un foro hospedado por Immunity, organización conocida por su sistema de testing de penetración Canvas. Legerov trabaja para la firma rusa Intevydis, que desarrolla el add-on VulnDisco para Canvas.
Legerov no ha publicado el código de ataque y, en principio, se negó a dar detalles a Mozilla sobre el fallo por considerar que los grandes suministradores se aprovechan a menudo del trabajo de los investigadores de firmas más pequeñas. Sin embargo, ayer Mozilla aseguró que finalmente este experto les había enviado “suficientes detalles para reproducir y analizar el problema”.
Hasta que el parche sea liberado el 30 de marzo, los usuarios pueden protegerse actualizando Firefox a la versión beta de 3.6.2, que ya incluye el parche.
Firefox 3.6, la versión afectada, fue introducida por Mozilla y, según la compañía, podría ser parcheada a través de la versión 3.6.2, cuyo lanzamiento está previsto para el próximo 30 de marzo.
La brecha fue puesta al descubierto por el investigador ruso Evgeny Legerov hace un mes a través de un mensaje en un foro hospedado por Immunity, organización conocida por su sistema de testing de penetración Canvas. Legerov trabaja para la firma rusa Intevydis, que desarrolla el add-on VulnDisco para Canvas.
Legerov no ha publicado el código de ataque y, en principio, se negó a dar detalles a Mozilla sobre el fallo por considerar que los grandes suministradores se aprovechan a menudo del trabajo de los investigadores de firmas más pequeñas. Sin embargo, ayer Mozilla aseguró que finalmente este experto les había enviado “suficientes detalles para reproducir y analizar el problema”.
Hasta que el parche sea liberado el 30 de marzo, los usuarios pueden protegerse actualizando Firefox a la versión beta de 3.6.2, que ya incluye el parche.
