Estas aquiContenido / Nuevo fallo en Firefox amenaza a Gmail (2)
Nuevo fallo en Firefox amenaza a Gmail (2)
A juzgar por los comentarios, veo que no se entendió mi enigmático aviso de ayer, así que lo diré más claro: mientras Mozilla no corrija el problema, sólo NoScript previene que podamos sufrir un XSS a través de la redirección abierta que permite Google.
Por ejemplo, este enlace a Google nos lleva a Kriptópolis (y lo mismo ocurre -por cierto- si lo invocamos con https). Pero además, si en esa URL colocamos un enlace jar:// a un recurso malicioso, Firefox (sin NoScript, insisto) se lo traga como si procediese de Google y además permite la ejecución en ese mismo contexto, lo que podría hacer peligrar -por ejemplo- nuestra cuenta Gmail.
En definitiva: es un problema de Firefox, pero que puede explotarse vía sitios que permiten a sus usuarios subir imágenes (algunos foros, por ejemplo) o mediante sitios -como Google- que permiten redirecciones...
En concreto, la vulnerabilidad de Firefox reside en el protocolo jar:, que es utilizado internamente por este navegador para acceder a recursos incluidos en ficheros comprimidos.
Por ejemplo, al cargar una dirección como la siguiente:
jar:http://servidor.com/archivo.jar!/imagenes/loquesea.jpg
Firefox descarga primero el fichero comprimido archivo.jar del servidor, y después extrae el fichero loquesea.jpg en el ordenador cliente.
El problema (y la vulnerabilidad) radica en que Firefox confía en que cualquier dirección que empiece por jar siempre llevará a un fichero comprimido jar, aunque su extensión o el Content-type de las cabeceras http hagan pensar lo contrario.
Por tanto, un atacante malicioso puede crear un fichero html conteniendo código Javascript, comprimirlo y renombrarlo como mi_avatar.jpg. El atacante va ahora a un foro y sube esa "imagen" como su avatar. Después, en un post incluye un enlace en la forma siguiente:
jar:http://foro_victima.com/imagenes/avatares/mi_avatar.jpg!
mi_script_malicioso.html
Un usuario de Firefox que cliquee sobre el enlace sufre la carga y ejecución del script malicioso, que se ejecuta además en el contexto de foro_victima.com
La otra forma posible de explotación consiste en utilizar un sitio -como Google- que permita redireccionar peticiones, de forma que el jar que incluye el script malicioso hereda el contexto de seguridad del sitio que redirige, incluso aunque el script esté alojado en el propio sitio del atacante. En este caso -como se ve- ni siquiera es necesario subir ficheros a ningún foro, aunque se sigue requiriendo que el usuario haga clic sobre el enlace malicioso y que permite la ejecución de scripts.
Espero que ahora se entienda mejor, pero si todavía quedan dudas os recomiendo la explicación de Sergio Maone (autor de NoScript) y un vistazo a este ejemplo sobre cómo utilizar la redirección de Google para phishing, un aviso que tiene más de un año, pero que no fue suficiente para que Google cerrara de una vez tan peligrosa puerta.
Versión para imprimir
No tengo muchos conocimientos de informatica, y tampoco los deseo, solo que cuando salgo de trabajar mirar un poco internet, entre otras cosas...
Desde hace tiempo utilizo menos FIREFOX y mas Opera, he visto que lo de sofware gratuito y demas no es garantia de exito, ni mayor seguridad. Desde luego no desde hace un tiempo y menos con las nuevas versiones asi que no se si OPERA tendra estos fallos posiblemente los tenga pero no son TAN SOBERBIOS y desde luego no necesito tanta extension ni que siga devorando memoria... ni en la futura version 3:
http://www.mozilla-hispano.org/foro/viewtopic.php?f=2&t=26
Asi que cuando vuelvan a hacer un producto digno de ustedes, volvere...
La primera soberbia, y la más grave, es tener código cerrado inaccesible. La segunda soberbia es hablar mal de algo que es gratis (Opera no es exactamente gratis, es freeware que no es lo mismo). La tercera soberbia es razonar en función de prejuicios y no de hechos.
Desde luego que código abierto es infinitamente más garantía de seguridad, lo que no cubre ninguna garantía son accidentes ni contingencias. No hay más que ver quién está interesado en códigos cerrados y quién en códigos abiertos. Hombre... yo creo que a estas alturas andar todavía dándole vueltas a esto...
Por cierto, a mí me dejó de gustar Opera el día que lo convirtieron en una verbena, con Torrent incorporado y todo. Desde luego Firefox me deja añadir lo que me dé la gana, así que francamente no te entiendo porque a mí me gusta lo que a ti parece no gustarte, y el NoScript podías esperar sentado por él si dependiera de Opera, Safari, MSIE o las putas madres de los tres...
Tener el código cerrado no es ninguna soberbia, es una opción te guste más o menos, en realidad yo tampoco veo ninguna soberbia en Mozilla. Opera es gratis en sus versiones no móviles, gratis como la cerveza, tienes un pequeño lío con la traducción de free. Freeware es también gratis como la cerveza distinto de libre pero es que lo que hay que empeñarse es que libre /= gratis
La soberbia y esto te lo reconoce Mozilla Linus y Microsoft es creer que por ser abierto es más seguro, el software es seguro o no es seguro y todas las empresas y comunidades están interesadas en fabricar software seguro.
Lo que pasa es que la verbena de Opera consume menos memoria que Firefox sin verbena. Carga lo que tienen que cargar y libera lo que tiene que liberar.
Y lo dice un usuario de firefox en linux que seguirá con el mientras no cambie mucho el panorama. Pero hay que aceptar las criticas y la evidencia de que en memoria Opera o IE7 están mejor y que en bugs la popularidad a Firefox le esta empezando a salir cara. Esperemos la 3.0 y el fin del despilfarro de memoria.
Observese que omito siempre CPU y velocidad en la cual todos van a la par y en estos tiempos es bastante más importante.
"NO tengo muchos conocimientos de informatica, y tampoco los deseo"
Si asi es, mi amigo, no seas tan iluso como para poner un comentario tan basura en este foro tan sagrado. Dedicate a lo tuyo a navegar y a trabajar.
"Como siempre uno mas del rebaño"
En cuanto al fallo, bueno ya estaremos trabajando en eso
Siempre es bueno probar nuevas alternativas, en la diversidad de ideas es más seguro que encontremos la verdad. Hoy me gusta Firefox mañana no sé, quizá surja otra opción y si es superior sin problemas migraré, y si después me doy cuenta que se han superado los problemas y nuevamente es el líder, pues regreso.
¿Cuál es el drama?
Como usuario de Firefox desde sus primeras versiones he aprendido que la primera extensión a instalar es el NoSript, así que por ahora sin dramas.
Lo mismo digo, me gusta FF pero mucho mas Noscript, que lo pongo antes que los marcadores.....
gente si es por cuestiones de seguridad, la solución es:
Instalar un D.O.S 6.22 y desenchufar el cable rj/45 de la placa de red y listo. :)
simpre va a pasar que encuentren dia tras dia fallos de seguridad, tanto en sistemas operativos, como en navegadores http, msn etc etc.
si no fuesé así, dejaria de existir la seguridad informatica en el mundo.
existe la seguridad informatica porque existen errores, y así sera por un buen tiempo.
El hombre ha matado al hombre desde el principio; porque un futuro va a ser diferente.
Asi habló Zaratustra.
qué piadoso conformismo exhibís algunos cuando se trata de chapuzas de firefox...
seguro que sois los mismos que machacan a microsoft por cada fallo de explorer...
El IExplorer, ese pedazo de programa que nos ha producido y produce muchos más problemas diariamente que todos los Firefoxes juntos.
Lo reconozco, no puedo ser imparcial con un programa que estoy obligado a usar en entornos laborales y sin poder usar ninguna otra alternativa, como lo es Firefox. Si pudiese usar Firefox a lo mejor te daba el gusto, lo abandonaba y me cambiaba al Opera, o al Konqueror, o a cualquier otro navegador compatible.
Digo yo que pretender que pesen lo mismo en platos opuestos de la balanza la Fundación Mozilla por un lado y MicroSoft por el otro es... no tiene nombre, vamos.
Pero bueno, por eso decía Einstein que era mucho más fascinante la estupidez: no tiene límites, en tanto que la inteligencia sí que los tiene.
Por cierto, la chapuza es de Google, ¿no? Otra santa compañía que caga dinero a punta pala... igualito que la Fundación Mozilla...