Info

secunia es confiable?

bueno.. recien llego del cole y me encuentro con que el usuario "alans2002" posteo "Firefox tuvo 400% mas vulnerabilidades que Internet Explorer" y como usuario de firefox queria saber que tan cierto era todo esto, asi no me qria qde con una informacion y decidi buscar un poco mas sobre secunia y miren con lo q me encontre


Falla de Seguridad Utiliza Internet Explorer Para Atacar a Mozilla Firefox

Firefox_User nos envió a un articulo deCNET News.com sobre un problema de seguridad a los usuarios de Windows que tienen instalado Microsoft Internet Explorer y Mozilla Firefox instalados en el equipo. La falla puede permitir a un usuario malintencionado en remotamente activar Firefox para ejecutar un código potencialmente peligroso. Para esto, un usuario tiene que estar utilizando Internet Explorer para que la falla se ejecute.

El investigador de seguridad Thor Larholm ha publicado una descripción de como funciona la falla de seguridad, incluyendo el reporte del dia cero (aunque algunos han reportado que no pueden reproducir la falla de seguridad). Cuando se instala en Windows, Firefox registra un protocolo URL intentando dirigir firefoxurl:// URLs (esto funciona muy parecido a http:// o ftp:// URL protocol handler). Si un usuario de IE visita una pagina que trata de llamar un firefoxurl:// URL (por ejemplo, usando un iframe), IE lanzará Firefox sin avisar, pasando la URL. Ni IE o Firefox escapan o sanan la URL, la cual permite a un usuario mal intencionado a agregar parámetros adicionales en la linea de comandos utilizada para llamar Firefox. Usada en combinación con el parámetro -chrome, el usuario mal intencionado puede hacer que Firefox ejecute códigos peligrosos en JavaScript.

Hay algunos debates donde culpan a esto de mentira — es IE por pasar datos no seguros a otra aplicación o Firefox por no validar la entrada correctamente? SecurityFocus se refiere al problema como un Microsoft Internet Explorer FirefoxURL Protocol Handler Command Injection Vulnerability, colocando el problema a Redmond, mientras Secunia lo llama Firefox "firefoxurl" URI Handler Registration Vulnerability, apuntando a Mozilla. News.com cita a Oliver Friedrichs de Symantec's Security Response Center, quien dice, "Es un poco de ambos."

En el Blog Oficial de Seguridad de Mozilla, la jefa de seguridad de la Corporación Mozilla Window Snyder (quien solia trabajar para Microsoft) dice que la corrección vendrá en el próximo Firefox 2.0.0.5. Eso dijo, ella parece sugerir que considera esto mas un problema de IE. Como siempre, de acuerdo a el ZDNet Zero Day(Dia Cero) weblog de seguridad, Microsoft asegura que el problema con firefoxurl:// "no es una vulnerabilidad en un producto Microsoft".

En su weblog, Jesper Johansson (quien también trabajaba para Microsoft), dice que la falla firefoxurl:// es un problema de Mozilla . El también provee instrucciones para no registrar los URL protocol handlers.

fuente:
http://www.mozillaes.org/mozillazine/index.php?q=secunia

espero q les sirva y gracias