Firefox

Uno, malvado por naturaleza, no puede dejar de enfrentar cada nueva versión de Firefox a los torpedos de Zalewski, sobre todo cuando Mozilla habla de mejoras en lo relativo a cuelgues y corrupción de memoria.

Pues bien; lamento comunicarles que mi flamante Firefox 3.0.7 sigue claudicando miserablemente ante los torpedos uno y dos, al menos bajo Windows 7 (beta).

Sin embargo me ha llamado -positivamente- la atención un detalle que no tiene que ver con el navegador...

Sí, el título es un poco malévolo, pero incluso podría complicarse más el juego de palabras, porque Window vino de Windows (pasando antes por Matasano, que el nombre también tiene delito).

El caso es que tras poco más de años al frente de la seguridad de Mozilla, con sus luces y sus sombras, Window Snyder se marcha para ayudar a poner en marcha una empresa no relacionada con la seguridad informática.

Se desconoce aún quién la sustituirá.

Firefox 3.0.1, presentado hoy, soluciona tres fallos de seguridad considerados por Mozilla como críticos.

• El primero hace caer al navegador al tratar de abrir un GIF malformado en Mac OS X.
• El segundo, descubierto por Billy Rios, afecta curiosamente a Firefox cuando no está funcionando. Si se pasa una URL con algún caracter "|" desde la línea de comandos se pueden ejecutar URIs de tipo "chrome", lo que permite explotar otras posibles vulnerabilidades.
• El tercero permite sobrecargar el contador de objetos CSS y colgar el navegador, abriendo la puerta a una posible ejecución de código. Este fallo afecta también a Thunderbird y Seamonkey.

Paralelamente se ha publicado también Firefox 2.0.0.16, que corrige los dos últimos fallos pero en la serie 2...

Ésa es al menos una de las principales conclusiones de un estudio publicado hoy, basado en el campo User-Agent de los registros de acceso a las búsquedas en Google en los últimos meses.

Según este trabajo, el 83.3% de los usuarios de Firefox, el 65.3% de los usuarios de Safari, el 56.1% de los usuarios de Opera y el 47.6% de los usuarios de Internet Explorer utilizaban las versiones más actualizadas de sus respectivos navegadores entre enero de 2007 y junio de 2008.

Invirtiendo esos mismos datos, el 52.4% de los usuarios de Explorer, el 43.9% de los usuarios de Opera y sólo el 16.7% de los usuarios de Firefox navegaban por la Web con versiones obsoletas de sus navegadores.

No creo que esas cifras puedan extrapolarse sin más matices a la hora de valorar qué navegador resulta más seguro, pero tampoco puede despreciarse sin más su relativa importancia, que creo que algo tiene que ver con el cómodo sistema de actualizaciones que utiliza Firefox...

Por Fernando Acero

Como la mayoría de los usuarios de Firefox, me he actualizado a la versión 3 aprovechando el "Download Day", colaborando así al recuento para el Guiness. Como es lógico, tras descargarlo, lo primero que he hecho es instalarlo y he tenido un problema.

Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.

Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...

Tras el primer disgusto (ocurrido a las pocas horas del lanzamiento de Firefox 3), más investigadores están publicando la existencia de otras vulnerabilidades afectando a Firefox 2 y 3.

Es el caso de Billy (BK) Rios, que señala que Firefox también coopera con Safari en la grave vulnerabilidad que hasta hoy se creía que sólo afectaba a la combinación entre este último e Internet Explorer.

Otro investigador, autodenominado azurIt, apunta hoy en Security Focus un grave fallo en el manejo de extensiones, incluyendo FFsniFF como prueba de concepto. Esta extensión maliciosa se esconde del gestor de extensiones y presuntamente actúa como un sniffer, que se encarga de remitir a una dirección de email los formularios que el usuario rellene durante su navegación con Firefox.