Firefox 3.5 vulnerable a ataques JavaScript, solución temporal y definitiva

[Alexis!]

Un problema crítico ha sido descubierto en Firefox 3.5 en relación a la manera con que gestiona JavaScript. Debido a ello, Firefox 3.5 abre una puerta a ataques según Secunia.

Ejemplos del código del exploit está disponible online, por lo que aunque de momento no hay informes de ataques, es muy probable que empiece a haberlos. Un ejemplo del problema podría darse en el caso de que una página web con código malicioso integre el código en cuestión y haga vulnerable el navegador.

The Washington Post ofrece un fix para evitar el problema mientras que Mozilla soluciona el problema. El caso es que el paso de Firefox 3 a Firefox 3.5 ha implementado una nueva característica de procesado JavaScript, que acelera el ritmo de ejecución, pero sin embargo es vulnerable a ataques. El parche que ofrece The Washington Post deshabilita dicha característica y aunque ralentiza las tareas JavaScript evita el grave problema de seguridad.

Para ello tenemos que deshabilitar la funcion jit que integra TraceMoney. Por tanto tenemos que escribir about:config en la barra de direcciones y buscar la opción “javascript.options.jit.content“, a la derecha estará activada, true, y debemos desactivarla con un doble click, para que refleje “false”.



Fuente

[matiaz]

Con Firefox 3.5.1 se arregla el problema de seguridad que podía ser aprovechado por un atacando integrando código malicioso en una página web, debido a un agujero de seguridad de TraceMonkey el nuevo motor javascript de la familia Firefox 3.5.

Debería figurar en actualizaciones automáticas, por las dudas te dejo los archivos para actualizar en español:
- Firefox 3.5.1 Windows Español (7.751 KB)
- Firefox 3.5.1 Mac OS Español (17.752 KB)
- Firefox 3.5.1 Linux Español (9.481KB)

Fuente