Firefox ESTUDIA DESHABILITAR EL " plug-in de Java "

Tras el descubrimiento de una vulnerabilidad SSL/TLS en Firefox que los hackers pueden explotar a través del plug-in de Java, los desarrolladores del navegador están estudiando la posibilidad de desactivarlo de forma temporal.

• Aunque desde Mozilla piensen que la responsabilidad recae en Oracle para solucionar el problema, barajan la propuesta de lanzar una actualización que deshabilite todos los plug-ins de Java con el objetivo de proteger a los usuarios.

De optar por esta medida, los usuarios podrían tener ciertos problemas al trabajar con el videochat de facebook y otras aplicaciones corporativas que están basadas en Java, tal y como ha reconocido Johnathan Nightingale, director de Ingenieria de Facebook.

Soluciones propuestas por los responsables de Google y Microsoft:

1. Google Chrome propone otra solución al problema como es complicar sobremanera la inyección de texto plano en su navegador con la esperanza de que los hackers no puedan llevar a buen puerto sus ataques, una medida que ya han probado con éxito y que en breve podrían implantar en las versiones estables del software.
2. Microsoft recomiendan a los usuarios que cambien de TLS 1.0 a TLS 1.1, una medida dificíl de llevar a cabo al ser pocos los servidores compatibles con TLS 1.1, y que según Mozilla no solucionará el problema, ya que Java solo es compatible con TLS 1.0.

Fuente: The Inquirer

MOZILLA PUBLICA 10 BOLETINES DE SEGURIDAD

La Fundación Mozilla ha lanzado hasta 10 boletines de seguridad que solucionan multiples vulnerabilidades encontradas en diferentes productos de la firma.

Desde Mozilla han realizado la siguiente clasificación de los boletines publicados :
Siete de los boletines con un impacto crítico, uno con un impacto alto y dos con un impacto moderado.

Listado de los boletines clasificados como "críticos" :

• MFSA 2011-36: Tres problemas de corrupción de memoria.
• MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
• MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
• MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
• MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
• MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
• MFSA 2011-44: Ejecución de código a través de ficheros .ogg.
  

Listado de boletines clasificados con " impacto alto" :

• MFSA 2011-38: XSS a través de plugins y objetos "window.location"
  

Listado de boletines clasificados con " impacto moderado " :

• MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
• MFSA 2011-45: Captura de pulsaciones a través de "motion data".

Las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Productos afectados:

• Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird.
  

Recomendaciones:

• Desde Mozilla se recomienda la actualización a la última versión de dichos productos.
  

Fuente: Hispasec