Nuevo fallo crítico en Firefox

Haz y envés. Mientras muchos medios celebran la llegada de Firefox 1.5, nosotros nos vemos en la obligación de comunicaros que nuestro navegador preferido vuelve a hacernos sufrir.

En efecto. Diversos medios internacionales se hacen eco esta tarde de que se ha descubierto una nueva vulnerabilidad crítica (o altamente crítica, según Secunia) en la forma en que Firefox maneja las URLs de dominios que contienen caracteres 0xAD cuando están dentro de una etiqueta "A HREF".

Por tanto -se nos dice- visitar una web maliciosa o cargar una página HTML especialmente manipulada puede provocar un desbordamiento de buffer, que puede facilitar la ejecución de código arbitrario en nuestras máquinas...

ACTUALIZACIÓN: ¡Disponible arreglo temporal!
(Gracias, Waterparties ;)

Navegadores afectados:

• Firefox 1.0.6 y anteriores en Linux y Windows
• Firefox 1.5 Beta 1
• Netscape Netscape 8.0.3 .3
• Netscape Netscape 7.2
• Mozilla Browser 1.7.11

Parche:

• Arreglo temporal disponible aquí

Más información:

• Aviso original [Tom Ferris, Security-Protocols.com]
• Muerte de Firefox [Demo original del descubridor, fusilada después por otros]
• Firefox URL Domain Name Buffer Overflow [Secunia]
• Mozilla Browsers "Host:" Parameter Remote Buffer Overflow Vulnerability [FrSIRT]
• Unpatched Firefox flaw may expose users [CNet News]
• Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow Vulnerability [Security Focus]