Mozilla parchea el 0-day de Firefox en menos de 48 horas

Menos de 48 horas después de recibir el aviso de un nuevo 0-day en Firefox, Mozilla ha liberado una actualización de emergencia que parchea el problema: Firefox 3.6.12 y Firefox 3.5.15.

El 0-day, que fue explotado por malware en la web del Nobel de la paz, se basa en un fallo al intercalar las funciones document.write y appendChild que puede llevar a desbordamiento del texto que está ejecutándose y a duplicar frames.

Ya existen pruebas de concepto en Exploit Database y también podéis encontrar un gran detalle técnico sobre los comentarios del Bug 607222 en Bugzilla.

Comentarios