Esta nueva vulnerabilidad (calificada como Crítica por Mozilla) 
provoca la caída de Firefox 1.5.0.7 y Firefox 2.0 al intentar crear un objeto Range mediante CreateRange.
Es explotable de forma remota si Javascript está activo en el navegador, pero no se ha demostrado a día de hoy que permita la ejecución de código.
Puedes comprobar la vulnerabilidad en esta demo de Kriptópolis (ojo: cierre inmediato en Linux, y previo aviso en Windows)...
Añadido (17:30): Al parecer, esta vulnerabilidad fue descubierta el 6 de Agosto y remitida a Mozilla el 4 de octubre, sin que Mozilla respondiera [Fuente].
Demasiado Equivocados
anónimo31 Marzo 2008 - 5:56am
1.- No puedes comparar Firefox con ningún vehículo del mercado. El que conozca un fabricante de automoviles que le regale los vehículos a todos los clientes en el mundo que lo necesite, y que cada vez que saque un nuevo medelo te ofrezca cambiar gratuitamente tu versión por la nueva que levante la mano o bien que deje de hablar pabadas. Si por tu versión del navegador pagaste miles de dolares tienes todo el derecho a reclamar...
2.- NoScript... ok desactivemos todos javascript para que no se pueda usar ajax ni validar los formularios, ni hablar de hacer simple o atractivo el navegar en la web... mejor naveguemos todos con Linx en modo texto... es más seguro... por favor... el que no sabe... no opine...
3.- Quieres saber que tal anda tu navegador... prueba los acidtests. Te sorprenderas de los resultados que obtienes con IE.. especialmente en su version 6... que muchos usan porque dicen que es mas "standard"... Lavense la boca antes de usar esa palabra... o porfavor instruyance en la w3c antes de hacer comentarios.
Chao
PD: Primero busco en google después opino...
Ns
Arktun2 Noviembre 2006 - 11:49pm
Y si nos dejamos de Noscript, deshabilitar java scripts o navegar en modo texto.
Lo que realmente importa es un navegador que funcione, seguro y estable. Que no tengas que quitarle la mitad de las opciones para que no te de una sorpresa y que no estés vigilando continuamente a que web habilito el JScript y a cual no … eso no es navegar.
Sobre lo de incluir NoScript de serie o no, el usuario medio ignora esas medidas, que a su vez puede tener un efecto contraproducente, o bien lo quita, o deja todo el JS activado para que no le de la brasa, sin contar la falsa sensación de seguridad (“tengo el NoScript y soy invulnerable”) … nada mas lejos de la realidad.
Pues... si los usuarios
Voyager2 Noviembre 2006 - 8:36pm
Pues... si los usuarios activan javascript en ese sitio malintencionado, será bajo su responsabilidad no?
Es que teneos la mentalidad de tratar a los usuarios como Tontos (heredada de Windows) y asi nos va...
En fin... lo que vosotros digáis :D
noscript no solucionara nada
anv2 Noviembre 2006 - 3:59pm
La inclusión "de serie" de noscript no solucionará nada, simplemente porque un sitio malicioso te obligará a usar javascript.
Actualmente la mayoría de los sitios incluyen javascript en alguna parte. Si yo fuera a hacer un sitio malicioso simplemente haría todos los lilnks con javascript, cosa que es una práctica bastante común. Bastaría por ejemplo con poner botoncitos animados que tengan el link hecho con javascript para que el usuario se vea obligado a permitir los scripts en ese sitio.
Al tratarse de una práctica tan común, hasta los usuarios desconfiados se sentirán tentados de activar los scripts para seguir navegando normalmente.
Alejandro Nestor Vargas
Agregamos que..
suscripcion2 Noviembre 2006 - 12:43pm
el error fue reportado a bugzilla el día 27 de octubre, 3 (tres) días después del lanzamiento mundial de Firefox. Si este hubiese sido reportado el día 6 de agosto mediante el procedimiento correcto, tal vez este error estaba solucionado ahora.. una lástima que esto se considere un "nuevo bug". Sol ocabe esperar que se solucione en breve, y para las próximas veces, que se reporte a Bugzilla mediante el procedimiento que corresponde antes que todo.
Afortunadamente, para
Voyager2 Noviembre 2006 - 11:41am
Afortunadamente, para Firefox 3, se ha pedido que NOSCRIPT venga de serie, con lo que estas vulnerabilidades basadas en javascript tendrian poco efecto y poco interés para los "malos" que quieran aprovecharse del usuario de a pie que no conoce NOSCRIPT
Saludos
FF
Arktun2 Noviembre 2006 - 10:50am
Coincido con los comentarios de borinquin y ya puestos a actualizar … que le agreguen el Noscript al Firefox de serie, porque sin esa “opción” al “coche” le falta una rueda, y no es precisamente la de repuesto.
Otra vulnerabilidad que se
Voyager1 Noviembre 2006 - 7:14pm
Otra vulnerabilidad que se soluciona con el uso de Noscript...
siguiendo.. :))
borinquin1 Noviembre 2006 - 3:47pm
Otro de los aspectos a considerar es "por donde va a circular el coche".
Es evidente que un utilitario no está preparado para circular de forma adecuada por todos los terrenos, mientras que un todo-terreno es eso, precisamente eso.
Los Navegadores han de ser todoterrenos, no utilitarios, y la diferencia entre un utilitario y un todo-terreno es obvia.
Internet es una jungla solo apta para todoterrenos, y en la jungla hay pistas por las que podria circularse sin problemas y tambien hay...bueno, ya sabemos todos lo que hay. y lo que es peor, empezamos asospechar las cosas que hay y que aún no hemos visto.
Copn idependencia de opiniones personales y gustos, no hay un "standard" de mínimos bien definido todavía, sobre todo si consideramos el hecho de que por ejemplo, para ciertas distros Linux Firefox se comporta de cierta forma y para otras distros de otra; sin hablar de wXP (sp1 y sp2) y otras versiones anteriores.
¿y MacIntosh?
El momento es interesante por una razón más que evidente. La aparición de W.Vista con IE-7, y cuestiones relativas a "mercado" insinuadas en este hilo o en otros que analizan Firefox.
Mientras tanto, Opera, la "otra" alternativa, permanece ahi a la espera, y fuera del ojo del huracan.
En tanto en cuanto, insisto en que "actualizar" no significa "arreglar fallos", sino añadir características nuevas distintas, y con la suficiente solidez para que no sean puestas en evidencia a las primeras de cambio, como es el caso del sistema anti-phishing.
Saludis
Oh, sí, perfecto
Turkistan (no verificado)1 Noviembre 2006 - 3:23pm
Gracias Mochilo. Es genial saber que firefox haya salido a la calle con cientos de bugs, pero a mi sólo me interesan los que recogen Security Focus, Secunia, el CERT, el NIST y otros porque ellos solo publican los que son vulnerabilidades preocupantes.
Pues no, Mochilo
timebomb (no verificado)1 Noviembre 2006 - 3:17pm
queremos MENOS !!
siguiendo con el simil del coche
periquillo1 Noviembre 2006 - 3:07pm
Es verdad, en informatica no se pueden criticar los defectos de los demas porque los programas de ordenador son intrinsicamente "defectuosos" y nadie esta libre de pecado.
Pero siguiendo el simil del coche, para valorar que coche es mejor hay que valorar varios aspectos.
En primer lugar, las prestaciones (a igualdad de precio). Un coche con mas prestaciones y facilidad de uso es mejor.
En segundo lugar, la seguridad, es decir, prestaciones especificas para garantizar la seguridad en la conducción y antirobo.
En tercer lugar la calidad de los acabados. A mayor calidad, menos averias y por tanto menos necesidad de "servicio tecnico".
Y finalmente, la eficiencia del servicio tecnico, o la capacidad de resolver rapida y correctamente las incidencias que a pesar del enfasis en la calidad, se puedan producir.
Yo creo que FF es mejor que IE porque tiene mas prestaciones, cuida la seguridad, aparentemente la calidad del acabado es mejor y lo que es muy importante, el modelo de "servicio tecnico" garantiza una resolución más agil y transparente de las incidencias que la competencia.
Saludos
¿Quereis más?
Mochilo1 Noviembre 2006 - 3:01pm
¿Quereis más?
Bugs actualmente abiertos de Firefox
Pero no son noticia si no son vulnerabilidades criticas, que se cierre el programa es NO ES UNA VULNERABILIDAD, es un error.
Podéis coger la lista anterior e ir publicando todos los bugs que queráis.
en parte si, en parte no
timebomb (no verificado)1 Noviembre 2006 - 2:28pm
a ver periquillo: lo que dices es cierto pero siguiendo con el simil de los coches uno empieza a pensar que aqui lo que no se puede es criticar los defectos de determinada marca, mientras que se pueden airear con gran jubileo los de otra. Cuando ambas marcas son defectuosas.
comparando con un coche
periquillo1 Noviembre 2006 - 1:26pm
Hola, me acabo de dar de alta para poder participar. Muchas veces he leido a gente que compara los navegadores con productos de uso normal (la mayoria de veces con coches) para ridiculizar a los desarrolladores. El mensaje se resume con la frase "vaya porqueria de producto, que al dia siguiente de su publicación, ya se necesita "actualizar" por cuestiones de seguridad".
No se puede comparar, porque si un coche tuviera el mismo tipo de usuarios que un navegador, solo salir del concesionario, nos encontrariamos a varios tipos con mazas dispuestos a rompernos las lunas, abollar la carroceria, etc, etc. Al circular por una carretera, de pronto, estaria sembrada de clavos y tras estrellarnos por haber perdido el control a pinchar las cuatro ruedas contra un arbol al perder , varios energumenos saltarian a desbalijarnos el maletero. Y todo eso porque los delincuentes tendrian el poder de "teletransportarse", es decir, una vez cometida la fechoria, viajarian miles de kilometros escapando de la policia.
Si los diseñadores de coches tuvieran los mismos requerimientos de seguridad que los diseñadores de navegadores, conduciriamos cacharros similares a tanques.
concepto
borinquin1 Noviembre 2006 - 12:20pm
Yo quisiera hablar sobre el concepto "actualización".
Pondré el ejemplo de un coche que sale al mercado y al que, nada más salir, se le observan defectos; si se quiere, de tipo menor, como por ejemplo, que el elevalunas no funciona bien, los faros se desajustan en altura, la antena de la radio no va como es debido, el lector de CD tarda en cargar, el aire acondicionado solo funciona correctamente si antes hay que activar el ventilador a más del 50% de la potencia....si se quiere, cosas asi, sin importancia, pero que joden bastante; uno no se compra un coche para eso.
Llamar "actualizar" a reparar esas cosas no me parece apropiado.
Yo diría que "actualizar" es más bien sustituir el lector de CD por un lector de mp3 o un reproductor de divX con monitor, sustituir el mando a distancia clásico por otro que incorpore medidas de seguridad adicionales, añadir un navegador GPS ultima generación, sustituir el Aire Acondicionado por un climatizador con sensores automatizados...,, es decir MEJORAS sobre opciones instaladas previamente QUE YA FUNCIONABAN BIEN, y que el avance de la tecnología ha dejado, por usar un término coloquial, atrasadas y/u obsoletas.
Desde mi punto de vista, Actualizar es esto, no reparar fallos de elementos instalados previamente.
Creo que se está subvirtiendo el lenguaje con este tipo de cosas, y convendría tener cuidado con esto.
Saludos
Una de las razones
Matachin1 Noviembre 2006 - 11:48am
Una de las razones por las que recomiendo Firefox es sus frecuentes actualizaciones. Aunque supongo que será un palo sacarla tan pronto es necesaria.
Firefox cambia de color
Helena (no verificado)1 Noviembre 2006 - 11:04am
Rumores no confirmados aseguran que el zorro rojo pasará a ser un zorro verde debido a la falta de madurez con que saltado a la red.