Firefox 3 y su vulnerabilidad que no se conoce

A pocas horas de estar disponible la versión 3 de Firefox se dio a conocer la existencia de una vulnerabilidad que además de afectar a la nueva versión del navegador, también afectaba a la anterior (2.0.x).

Pienso que el problema se conocía desde antes y se esperó al lanzamiento para informarlo y »hacer ruido», además me resulta curioso leer que en algunos sitios de seguridad se refieran a la vulnerabilidad como »crítica» cuando lo único que se sabe hasta el momento es que un atacante podría tomar el control del sistema si se visita una página maliciosa especialmente diseñada, al menos eso es lo que afirman desde el ZDI, pero no hay demostraciones públicas ni se ha detectado de forma activa la explotación de la vulnerabilidad. Es decir que no parece ser algo tan peligroso y alarmante.

Mozilla está investigando la situación y los detalles técnicos se darán a conocer luego de que se libere una actualización, mientras tanto se recomienda algo que debemos tener presente siempre, ~~precaución a la hora de seguir enlaces que provienen de correos electrónicos y mensajeros instantáneos.~~ sentido común a la hora de seguir enlaces.

6 comentarios

Nico junio 23, 2008 en 3:03 am

Fernando: No se trata de ser ‘fanboy’ o no (eso se lo dejo a los que adoran más a un software que a otra cosa), que los hay y no solo de Firefox si no de todos los navegadores. Se trata de informar como son las cosas, si no hay pruebas públicas, pues no las hay,y soy el primero en buscarlas. Existe un reporte enviado a Mozilla que están revisando, que da a notar que se encontró una vulnerabilidad. Y eso es todo.

Que se diga que no hay mejoras, suena mas a ‘firefox-hater’ que a una realidad. Los 3 navegadores han mejorado y eso se nota a simple vista, más allá de gustos.

Si quieres tumbar Firefox 3, y cualquier versión de Firefox, no es necesario todo esto. Puedes ver este artículo donde la primera demostración todavía es efectiva y logra hacer caer a Firefox por desbordamiento de buffer. Fue publicado hace mucho tiempo y sigue sin solucionarse :p

Responder

Fernando junio 22, 2008 en 6:25 pm

¿Cómo?, ¿es curioso que algunos blogs se refieran a la vulnerabilidad como «crítica» cuando sí es «crítica?.

Que no existan exploit activos no quiere decir que deje de ser más peligrosa, la vulnerabilidad está ahí y es crítica, cualquier usuario que utilice Firefx 3 es propenso a la ejecución de código arbitrario, no hay más.

Vaya que si hay que discutir con los firefox-fanboys, imposible que no puedan ver los errores que se carga este software. No hay mejoas, sigue consumiendo recursos a lo tanto, es lento, blah blah.

Responder

Nico junio 22, 2008 en 2:58 am

Genial que menciones que podría, y que no hay demostraciones. Lo cierto es que Mozilla recibió un reporte y lo están investigando. Eso es todo. El resto, es ruido, sensacionalismo, oportunismo. De la misma manera que lo comente en ZF hace un par de días en el articulo sobre el tema. Hay mala intención cuando se procede de esa forma. Incluso podrían haber reportado el bug a Bugzilla a tiempo.

No es la primera que vez que pasa ni con Fx, ni con Opera ni con IE. Gente oportunista hay en todos lados.

Respecto a sitios como Kriptopolis, (y respeto la opinión de los demás), no me dice nada que lo digan ellos o no. Sus artículos especialmente sobre Firefox son de meter palo e incluso no comentan otros fallos que de repente están reportados.

Es como con WordPress, Windows, Linux, Firefox, Opera, IE, lo que sea. Seguramente todos ellos tienen fallos incluso no conocidos, pero, no por eso dejaré de usarlos. Me importa más como trabajan los equipos para solucionar esos problemas. Que más allá de los problemas que surjan haya gente trabajando para solucionarlos. Y seguramente en la medida de que Firefox vaya siendo más usado, se irán encontrando errores más seguidos creo yo.

En cuanto a la velocidad, como bien dices Cirilo, es igual ya que el límite lo pone más que nada nuestra conexión a Internet : p

Responder

Cirillo junio 21, 2008 en 7:17 pm

Yo ya me lo descargué y está de lujo. En realidad, la velocidad está igual; pero es más moderno. :)

Saludo. :)

Responder

SpamLoco junio 21, 2008 en 2:32 pm

Pienso que se le está dando mucho más color del que realmente tiene.

No sólo no se conoce a nadie que la explote sino que tampoco hay información detallada. DVLabs no va a publicar nada hasta que Mozilla lo investigue y saque un parche, y el mismo Mozilla dice que el riesgo actual es mínimo.

Si el bug fuera explotado en estos momentos, ahí sí yo la llamaría una vulnerabilidad crítica y me preocuparía, o le daría la importancia y el sensacionalismo que algunos sitios le están dando… porque »critica» en sí es, es verdad, pero no algo como para preocuparse. Vulnerabilidades así tienen todos los navegadores y muchas veces ni siquiera nos enteramos, navegamos tranquilos hasta que sale una nueva versión y se informan los problemas corregidos.

Responder

Gabolonte Blasfemus junio 21, 2008 en 1:20 pm

Alejandro, si se conocía desde antes, por qué todavía está y llegó hasta a manchar a la versión final de Firefox 3? Otra: A vos te parece que una vulnerabilidad que permita jecutar código arbitrario con sólo hacer un click no merece ser calificada de crítica sólo porque todavía no se conoce a nadie que la explote? Y que sitios como Kriptópolis donde prácticamente se venera al software libre se haga eco sin cuestionarlo, da que pensar. Como precaución recomiendan utilizar el plugin NoScript, que claro, vuelve inútil casi cualquier sitio actual. Y claro, no podés saber qué link puede ser uno malicioso, puede estar a la vuelta de cualquier búsqueda o blog, no necesariamente venir por mail o MSN. Pero tampoco es para alarmarse ya, no sería la primera vez que pasa con FF algo así.

Pero desde ya que la empresa de seguridad que lo descubrió si lo sabía de antes (probable) esperó al lanzamiento de Firefox 3 para hacer más bombo, así el bug tiene otro precio ;).

Responder

SpamLoco