Insisto: grave riesgo amenaza a usuarios de Firefox en Windows XP

Enviado por admin el 26. Julio 2007 - 23:13.

Pese a que algunos expertos de seguridad (empezando por Schneier) se sienten más seguros con Opera, yo -como no soy ningún experto- me permito seguir utilizando Firefox simplemente porque me gusta.

Sin embargo me sigue llamando poderosamente la atención el manto de silencio que -al menos en la Internet hispana- cubre las frecuentes cagadas de Firefox. Sólo así (y gracias al extendido uso del benéfico NoScript), se explica que no hayan saltado todas las alarmas ante la gravísima vulnerabilidad que afecta incluso a la última versión del navegador de Mozilla bajo Windows XP...

Actualización (27-Julio, 19:53) -> En efecto. Mi "2.0.0.6" ya no sucumbe a los enlaces originales ni a los transformados por Secunia. La actualización puede estar cerca.

Actualización (27-Julio, 19:40) -> El FrSIRT se acaba de sumar a la lista de sitios que culpan a Firefox del bug. El único que se desmarca y culpa a Windows (Secunia) ha introducido una novedad: para Secunia no basta con filtrar la cadena %00, sino que un simple % también provocaría el fallo, lo que -según Heise- podría demorar aún más la corrección. Mozilla ya está en ello, mientras mi "2.0.0.6" insiste en dificultarme las pruebas a base de nuevos pantallazos azules de la muerte.

Actualización (27-Julio, 12:25) -> Acabo de localizar una versión 2.0.0.6 que, pese a estar en la carpeta de las Release Candidates, tiene todo el aspecto de ser (casi) definitiva. Tras instalarlo en mi XP y arrancarlo me produjo un pantallazo azul y Windows se reinició solo. En el siguiente arranque el navegador funciona correctamente y ya no resulta vulnerable a las demos publicadas.

Actualización (27-Julio, 11:10) -> Acabo de añadir un listado de referencias informativas. Dejo al criterio del lector la credibilidad de aquellos medios que informan o callan, exageran o minimizan, en función de si el producto afectado -o la empresa fabricante- es o no de su particular agrado.

Y es que esta vez no caben medias tintas, porque se trata de un "zero day" en toda regla, que permite la ejecución silente de código y el compromiso total de la máquina, sin más que seguir un enlace malicioso en una web.

Kriptópolis es uno de los pocos sitios (no sé si el único) que anticipó hace ya un par de días el evidente riesgo (incluyendo un enlace a las elocuentes demostraciones), pero vale, por mí perfecto. Sigan ustedes mirando para otro lado mientras Mozilla deshoja la margarita y el US-CERT decreta la alerta máxima.

 

REFERENCIAS:

 

»

Comentarios

Selecciona arriba tu forma preferida de visualizar
los comentarios y pulsa el botón para guardar tus
preferencias. Éstas sólo se recordarán para tus
próximas visitas si eres usuario registrado.

RESOLVED FIXED

Enviado por anónimo el 26. Julio 2007 - 23:49.

El bug ya está corregido y se aplicará la corrección a la próxima versión.

Nadie mira para otro lado, pero en lo que concierne a Firefox, Kriptopolis siempre me parecerá demasiado amarillista.

Si lees los comentarios del bug verás que se va a aplicar a la rama de Firefox 2.0.0.6, el cual va a salir en los próximos días.

Un tupido velo

Enviado por admin el 27. Julio 2007 - 9:51.

"amarillista" eh? y en lo que concierne a Firefox, eh?

Pesadez

Enviado por anónimo el 26. Julio 2007 - 23:50.

Que pesados ya, un buen firewall, linux y ya está.

Ya, hombre...

Enviado por admin el 27. Julio 2007 - 9:53.

Si a mí tampoco me afecta este bug, pero hay demasiada gente con el c*** al aire y a lo mejor algunos no lo saben, porque el silencio -en castellano- es casi total. No así en los medios internacionales, donde Firefox no acostumbra a recibir ningún trato de favor. Lo mismo que en kriptópolis, por cierto, aunque a algunos les duela...

De cristales hablaba en la noticia anterior

Enviado por disabled por censura el 27. Julio 2007 - 0:08.

Hace dos días comentaba aquí que Mozilla estaba haciendo bien las cosas que no le romperían los "cristales", según lo que cuentas ya no les deben de quedar muchos sin romper.

No obstante me merecen mucha credibilidad aún los chicos de Mozilla por lo que confió en que tengan razón el riesgo sea moderado y no puedan pasarse parámetros que son los que podrían preocuparme, mientras ejecute solo .exe y las URI's den tanto el cante no caeré de ninguna manera.

Ahora de todas formas ahora no lo puedo probar y mailto me abre solo Evolution.

PD: No se le ha hecho mucho caso, pero que quieres que pase, dos días tampoco me parece tanto tiempo como para ponerse tan tremendista.

Guantes de seda

Enviado por admin el 27. Julio 2007 - 9:56.

Oh, claro, mientras ejecute sólo exe's aquí no pasa nada...

¿Aunque el exe sea un format.exe o un pedofilia_ftp.exe?

Evolution? No dije ya que el problema se da sólo en Windows XP? Ah, te refieres a Evolution para Windows? Entonces si te lees las fuentes verás que la vulnerabilidad no funciona si tus mailto van por vías distintas a Outlook...

tremendista? no será que hay mucha desinformación e ignorancia?

acabo de comentar pero...

Enviado por disabled por censura el 27. Julio 2007 - 0:19.

Leyendo un poco más detenidamente, en el blog de Billy (BK) Rios http://xs-sniper.com/blog/, comenta que el bug ya esta resuelto, tonto de mi que ni mire el estado. Lo califica como que ha sido resuelto "LIGHTING FAST" que esta esperando a que saquen el parche en breve.

Y por último que este bug necesita tener IE 7 instalado, actualizado y cerrado para que exista vulnerabilidad, exactamente lo mismo que en el caso del primer bug firefox/IE aunque lógicamente la práctica totalidad de usuarios de Firefox no han eliminado IE (es bastante chungo y una tontería a fin de cuentas) algo que ante no pasaba pues los usuarios de IE no suelen tener Firefox.

A fin de cuentas Mozilla arregla sus errores sean culpa suya o de IE y este espera a que se los resuelvan o a dejarlos como están ¿cuantos días lleva IE manejando mal protocolos? ¿eso es alarmante?

Por supuesto

Enviado por admin el 27. Julio 2007 - 9:58.

Tan alarmante que Microsoft no arregle su parte como que Mozilla no ponga a disposición del público la versión que corrige el fallo del que antes echaron la culpa exclusiva a Microsoft.

Eso es lo que nadie se atreve a decir por estos lares.

No va

Enviado por anónimo el 27. Julio 2007 - 0:39.

Yo tengo el Firefox/2.0.0.5 y solo va lo de que te abre un mail en el autluk xpres con la dirección puesta. Los otros no me deja seguir y en el telnet me pregunta.

A menos que ya esté comprometido y los mensajes de error fueran la pirula. :)

Es normal

Enviado por admin el 27. Julio 2007 - 9:59.

No sé por qué, pero los bugs de Firefox "no van". En Mozilla deben estar dormidos cuando reconocen estas vulnerabilidades...

12345siguientefinal

Opinar

Los comentarios publicados en este sitio expresan sólo la opinión de su autor, quien será el único responsable de los mismos. La publicación de cualquier comentario no supone en absoluto la conformidad del responsable de este sitio con su contenido.

Como norma general, en este sitio no se publican comentarios que incluyan datos personales, ni direcciones de correo, ni ninguna otra forma de establecer contactos privados o comerciales, así como comentarios que no aportan nada, fuera de tema o que no se ajustan a la netiqueta, la ortografía o la educación.

Para poder enviar tus comentarios has de permitir las cookies del sitio.

Por favor, escribe arriba el resultado de la operación planteada. Gracias.
  • Etiquetas HTML permitidas: <a> <em> <strong> <ul> <ol> <li> <p> <u> <br><strike> <blockquote> <div>

Más información sobre las opciones de formato...