Se trata de una regresión (un problema ya corregido en el pasado) que vuelve a quedar expuesto tras una actualización. Después de los últimos parches, muchos usuarios del plugin HTML Validator experimentaron inestabilidad en el navegador. Luego se comprobó que no estaba causada por ese plugin en concreto, y que se trataba de un problema de corrupción de memoria que podría permitir a un atacante ejecutar código si la víctima visita una página web especialmente manipulada. El fallo en concreto se da en la función nsTextFrame::ClearTextRun.
A finales de marzo, la fundación Mozilla adelantaba la actualización de Firefox debido a otra vulnerabilidad muy grave que estaba siendo aprovechada desde hacía días. Aunque anunciaron que la publicarían para principios de abril, el día 28 de marzo ya estaba disponible la versión 3.0.8 de Firefox que corregía dos graves vulnerabilidades. Dos semanas después aparecía la 3.0.9 que solucionaba otras tantas.
Con la versión 3.0.10, el equipo de seguridad de Mozilla vuelve a resolver rápidamente un grave problema. Ante esta celeridad, solo cabe esperar que efectivamente hayan realizado las comprobaciones oportunas y las modificaciones realizadas solucionen tajantemente los fallos.
Sergio de los Santos
ssantos@hispasec.com
ssantos@hispasec.com
Más información:
La fundación Mozilla adelanta la actualización de Firefox
http://blog.hispasec.com/laboratorio/340
Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html
No hay comentarios:
Publicar un comentario