Vulnerabilidad en el navegador Firefox 3

23 06 2008

En Bitelia se hacen eco de una noticia en la que se dice que un grupo de Kaspersky han identificado una vulnerabilidad en el nuevo producto de la Mozilla Foundation. Antes de nada, tengo que deciros que esta noticia es del sábado 19, pero no he podido ponerla antes porque los estudios me tienen un poco alejado de lo que más me gusta. Os pongo un fragmento de la noticia. Dicho fragmento no está sacado de Bitelia, sino de Vnunet.es:

“Después de que el navegador de código abierto haya tenido más de 8,3 millones de descargas durante las primeras 24 horas desde su lanzamiento, en parte gracias a una interesante campaña de márketing, ahora se descubre que contiene al menos un fallo, que podría permitir la ejecución de código con sólo visitar un enlace que nos lleve a una página web especialmente manipulada.

Zero Day Initiative (ZDI) publicó el descubrimiento de dicho agujero de seguridad tan solo cinco horas después de que Firefox 3 fuera lanzado de forma oficial, a las 19 horas del pasado día 17 en España (aunque es bastante más que probable que tuvieran conocimiento del fallo desde la aparición de las primeras betas, pero hayan esperado al lanzamiento oficial para hacerlo público). Los investigadores de ZDI han confirmado que la vulnerabilidad podría permitir la ejecución de código arbitrario de forma remota con los permisos del usuario ejecutando la aplicación, aunque no parece que el fallo esté siendo explotado en la actualidad.

En todo software relativamente nuevo las posibilidades de que se descubran vulnerabilidades graves se multiplican al lanzar una nueva versión con importantes modificaciones. Este problema no es patrimonio exclusivo ni de compañías específicas ni depende de la filosofía del software (sea código abierto, cerrado, o cualquier otra manera de entender la forma de distribución).

Zero Day Initiative está organizado por TippingPoint (filial de 3com) y premia el descubrimiento de nuevas vulnerabilidades si se le ceden en exclusiva los detalles de cómo aprovecharla. Afirma haber informado a los desarrolladores de Mozilla y siguiendo su política de “Responsible Disclosure”, ha rehusado publicar detalles técnicos al respecto hasta que no se haga público un parche que corrija el fallo. Todo hace indicar que la versión 3.0.1 podría estar disponible muy pronto.

Adicionalmente, otros dos investigadores dicen haber descubierto más problemas de seguridad en la nueva versión del navegador. El primero se trataría de error de límites no especificado y que podría causar una denegación de servicio o permitir la ejecución de código. El segundo, un fallo que podría provocar que Firefox 3 ejecutase ciertas aplicaciones sin permiso del usuario. Éstas supuestas vulnerabilidades no han sido confirmadas por el momento y provienen de listas de correo especializadas en seguridad.

Una vez más se recomienda no visitar enlaces poco fiables y vigilar especialmente aquellos que provengan de correos o a través de mensajería instantánea.”

Así que ya sabéis, useis el S.O que useis procurad vigilar por donde navegáis.

Anuncios

Acciones

Information

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s




A %d blogueros les gusta esto: