Firefox: la etiqueta mató a la estrella de la Web

 

 

Enviado por anónimo el 17 Octubre 2005 - 3:44pm

Una nueva vulnerabilidad que afecta a Mozilla Firefox -incluida su última versión 1.0.7- acaba de ser publicada [1], incluyendo un exploit [2] que produce la caída del navegador.

En esta ocasión no hace falta un ataque extremadamente sofisticado: Firefox se bloquea con tan sólo hacerle cargar una página que contenga en su código las etiquetas strong y sourcetext sin sus correspondientes cierres [3].

También está afectado Mozilla Thunderbird, versión 1.0.6 incluida...

  1. Mozilla Firefox 1.0.7 DoS Exploit [WhiteDust Security]
  2. Demostración (OJO: Si haces click desde Firefox, éste ese bloqueará y la carga de la CPU subirá hasta que lo cierres) [milw0rm]
  3. El sencillo código mortal [milw0rm]

Comentarios

Selecciona arriba tu forma preferida de visualizar los comentarios y pulsa el botón para guardar tu elección para próximas visitas (sólo si eres usuario registrado).
Reverendo's picture

También Mozilla!

Enviado por Reverendo (no verificado) el 17 Octubre 2005 - 4:20pm.

Acabo de comprobar que Mozilla 1.7.12 en Linux también se cae.

No son susceptibles Opera, Explorer ni Konqueror, que son los que hasta ahora he podido comprobar.

Envite's picture

Mozilla 1.7.8 también

Enviado por Envite el 17 Octubre 2005 - 4:23pm.

Acabo de probar...

No estoy de acuerdo con lo que dices, pero defenderé con mi vida tu derecho a decirlo.
- Voltaire -

No estoy de acuerdo con lo que dices, pero defendería con mi vida tu derecho a decirlo.
- Voltaire -

sindo1's picture

Firefox Beta 2

Enviado por sindo1 el 17 Octubre 2005 - 4:57pm.

Yo utilizo Mozilla Fierefox 1.5 Beta 2 en win32, y no le afecta

borinquin's picture

jajajaja

Enviado por borinquin el 17 Octubre 2005 - 5:46pm.

Donde estan esos ke ponian a parir a I.Explorer y depositaban TODA su confianza en Mozilla y "Firefox"?

desde hace tiempo, version nueva de Firefox...bug al canto, y esta, es ya de risa.

Me parece ke hay mucho listo por aki ke aconseja una cosa porke odia a la otra.

En Internet NO HAY NADA seguro, NADA.

A ver si nos metemos esa idea en la cabeza de una vez,
y cuando recomendemos cosas, hacerlo por cuestiones exclusivamente tecnicas, y no porke no nos guste la otra opcion.

Desde hace 4 o 5 versiones de Firefox, nada mas salir a los tres dias...bug. Eso no es serio.

Despues de esto, Firefox ha demostrado ser tan kk como I.Explorer, a ver si alguien es capaz de defender lo contrario.

En Redmond tienen ke estar partiendose la polla de risa, teniendo en cuenta la "enorme" complejidad de este exploit

Saludos

Pelias's picture

Gravedad

Enviado por Pelias el 17 Octubre 2005 - 5:56pm.

Yo creo que habria que hacer dos puntualizaciones
(1) No es un agujero de seguridad que permita la ejecucion de codigo maligno, solo se nos cae el explorador. Con lo que no podriamos calificar el problema de critico
(2) Vamos a ver cuanto se tarda en tener el parche y compararemos con lo que tardan los demas.

-Pelias.

-Pelias.

borinquin's picture

es posible

Enviado por borinquin el 17 Octubre 2005 - 11:02pm.

bueno, ya llevamos unas cuantas "actualizaciones" en demasiado poco tiempo, lo ke revela ke es un producto cogido con pespuntes y ke ya esta en el punto de mira de mucha gente, y si creemos ke este es el ultimo bug ke va a salir...me temo ke estamos ekivocados.

¿Cuanto tiempo ha pasado desde la 1.4 a la 1,7?

------>introducir respuesta

¿es fiable un producto ke cada vez ke se saca a los dos o tres dias ya esta "pillado"?

------->introducir respuesta

y asi haria 10 preguntas más, pero no kiero aburrir a nadie, solo reclamo un poco de cordura para ke alguien ponga las cosas en su sitio, y a cada navegador en su lugar, pero solo por razones tecnicas, que no tengan ke ver con ke uno lo fabrije un millonario, y otro lo haga una comunidad de desarrolladores.

Y repito: en Redmond se tienen ke estar partiendo la polla de risa con este asunto, y con I. Explorer 7 a punto de salir, cuando salga, los de Frefox tardaran poco en partirse a su vez la polla de risa, eso seguro tambien.

A ver si alguien aki es capaz de saber reirse de LOS DOS.

Un saludo

Nesher's picture

Jiji jaja

Enviado por Nesher el 19 Octubre 2005 - 8:24am.

Lo que pasa en realidad es que a los de firefox aun les dura la risa al conocer el historial completo de vulnerabilidades de IE y claro, programar entre lagrimones y carcajadas tiene estas cosas, que te dejas pequeñas nimiedades al aire. No me parece un fallo grave, mas bien podria considerarse un fallo en el codigo de la pagina a cargar, ¿no?. A mi siempre me dijeron que dejar etiquetas sin cerrar era de nenes malos, y no me lo dijo nadie que trabajase en firefox (lo juro) mas bien es algo que se debe hacer si te consideras un programador decente con habitos decentes. El problema no deja de ser una vulnerabilidad, pero de nivel minimo, no comparable a.. bueno... IE.

Que conste que no defiendo firefox, uso lynx, konqueror, firefox, opera y a veces Dillo ;). Y solo queria decir que la vulnerabilidad me parece muy simple, de la que tendremos rapida solucion para los que la necesiten para sentirse mas seguros en su casa mientras permanecen delante de la pantalla de su computadora. De momento no hay ningun exploit que ejecute una Desert Eagle apuntandote a la sien, de momento son este tipo de chorraditas.

He ahí mi modesta opinion.

P.D:

La vulnerabilidad ya veo que existe, pero aun no he tenido ningun problema.
Firefox 1.7.5

borinquin's picture

No, si ya...

Enviado por borinquin el 19 Octubre 2005 - 10:34am.

Esta claro que no se trata de un asunto grave, simplemente que algo no funciona, pero llevan una racha ya demasiado grande como para presumir de "gran producto".

Habida cuenta de lo que he observado en este mes y medio pasado, Firefox ha dejado de ser un producto fiable, y mucho menos la maravilla que nos han venido contando. Y cuando te venden una maravilla diciendote que el otro no lo es, y tal, y cual, y despues resulta que no es una maravilla, porque andan parcheandolo cada muy poco; te sientes tan estafado como con el otro.

Yo no creo que en este asunto nadie entre los desarrolladores este en condiciones de reirse de nadie en el asunto de los navegadores, tecnicamente hablando. Los que si podemos reirnos, y la risa va por barrios, son los usuarios de uno y de otro, viendo el espectaculo.

Saludos

Saludos

borinquin's picture

¿otros?

Enviado por borinquin el 18 Octubre 2005 - 8:38am.

Internet Explorer y Opera no son sensibles a este bug, no veo ke tengan que sacar ningun parche.

Saludos

jotape's picture

No hay comparación...

Enviado por jotape el 17 Octubre 2005 - 8:11pm.

...entre una "empresa" y la otra. Cuando sale a la luz un bug peligroso en IE, ¿cuanto tarda en salir una actualización totalmente funcional que no comporte más y más problemas de seguridad? Para Firefox tendremos parche o nueva versión dentro de días (u horas) que arregle sólo lo que "está roto". Volviendo a IE, ¿quién te asegura que cada vez que parcheamos este navegador no instalamos "algo" más? Absolutamente nadie.

Por otro lado, deberías saber que *no* existe un programa infalible. La cuestión es cuan peligrosa es esa infalibilidad. Todos sabemos que no es lo mismo un bug que te cuelga el navegador que uno que te instala dialers y troyanos a escondidas...

>Me parece ke hay mucho listo por aki ke aconseja una cosa porke odia a la otra.
Exacto, lo demuestras en tu comentario.