Firefox

Firefox 3.0.1, presentado hoy, soluciona tres fallos de seguridad considerados por Mozilla como críticos.

• El primero hace caer al navegador al tratar de abrir un GIF malformado en Mac OS X.
• El segundo, descubierto por Billy Rios, afecta curiosamente a Firefox cuando no está funcionando. Si se pasa una URL con algún caracter "|" desde la línea de comandos se pueden ejecutar URIs de tipo "chrome", lo que permite explotar otras posibles vulnerabilidades.
• El tercero permite sobrecargar el contador de objetos CSS y colgar el navegador, abriendo la puerta a una posible ejecución de código. Este fallo afecta también a Thunderbird y Seamonkey.

Paralelamente se ha publicado también Firefox 2.0.0.16, que corrige los dos últimos fallos pero en la serie 2...

Ésa es al menos una de las principales conclusiones de un estudio publicado hoy, basado en el campo User-Agent de los registros de acceso a las búsquedas en Google en los últimos meses.

Según este trabajo, el 83.3% de los usuarios de Firefox, el 65.3% de los usuarios de Safari, el 56.1% de los usuarios de Opera y el 47.6% de los usuarios de Internet Explorer utilizaban las versiones más actualizadas de sus respectivos navegadores entre enero de 2007 y junio de 2008.

Invirtiendo esos mismos datos, el 52.4% de los usuarios de Explorer, el 43.9% de los usuarios de Opera y sólo el 16.7% de los usuarios de Firefox navegaban por la Web con versiones obsoletas de sus navegadores.

No creo que esas cifras puedan extrapolarse sin más matices a la hora de valorar qué navegador resulta más seguro, pero tampoco puede despreciarse sin más su relativa importancia, que creo que algo tiene que ver con el cómodo sistema de actualizaciones que utiliza Firefox...

Por Fernando Acero

Como la mayoría de los usuarios de Firefox, me he actualizado a la versión 3 aprovechando el "Download Day", colaborando así al recuento para el Guiness. Como es lógico, tras descargarlo, lo primero que he hecho es instalarlo y he tenido un problema.

Una vez configurado, e instalados todos los complementos, he intentado acceder a las Notificaciones Seguras de nuestra querida Administración y no ha sido posible. He cambiado configuraciones y versiones de Java y he realizado pruebas durante varios días, sin ningún éxito. Puesto en contacto contacto con el servicio técnico, me han dicho que están en ello y que esperan tener listo el sistema para que funcione con Firefox3. Mientras, me recomiendan que use una versión antigua, algo que tengo que probar cuando tenga tiempo.

Sin embargo, durante las pruebas apareció otro problema relacionado con el contenedor de certificados de Firefox: no puedo importar o exportar certificados...

Tras el primer disgusto (ocurrido a las pocas horas del lanzamiento de Firefox 3), más investigadores están publicando la existencia de otras vulnerabilidades afectando a Firefox 2 y 3.

Es el caso de Billy (BK) Rios, que señala que Firefox también coopera con Safari en la grave vulnerabilidad que hasta hoy se creía que sólo afectaba a la combinación entre este último e Internet Explorer.

Otro investigador, autodenominado azurIt, apunta hoy en Security Focus un grave fallo en el manejo de extensiones, incluyendo FFsniFF como prueba de concepto. Esta extensión maliciosa se esconde del gestor de extensiones y presuntamente actúa como un sniffer, que se encarga de remitir a una dirección de email los formularios que el usuario rellene durante su navegación con Firefox.

Actualizaciones [16:48]: Mozilla ya investiga el asunto. Según Giorgio Maone, una vez más los usuarios de NoScript estarían a salvo.

TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución.

Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso.