Estas aquiContenido / Primera caída de Firefox 1.5
Primera caída de Firefox 1.5
Se abrió la veda del "panda rojo". Pocos días después de su presentación, un certero ataque ha provocado el primer tropezón serio de nuestro navegador favorito.
El ataque consiste en insertar en una página web un sencillito javascript que provoca un crecimiento desmesurado del fichero history.dat (el archivo donde Firefox guarda el historial de páginas visitadas). Al volver a arrancar Firefox observaremos con sorpresa que se queda colgado. La situación se repetirá cada vez que tratemos de arrancar Firefox sin borrar el fichero afectado...
ACTUALIZACIÓN (9-DIC, 10:00 pm):
He resistido la tentación de incluir una demo operativa en Kriptópolis, porque reparar el daño puede llevar un rato (no mucho: lo que se tarda en localizar y borrar el fichero de historial), pero sí he comprobado que funciona en Windows XP SP2. La demostración resulta muy sencilla, y quien esté interesado en comprobar su efectividad no tiene más que salvar el código con la extensión html y abrir el fichero en su navegador, aunque -para ganar tiempo en la fase de reparación- le aconsejaría que tuviera localizado el fichero que se va a dañar antes de hacerlo.
Mucha gente no considera que atacar a un navegador mediante javascript sea realmente un ataque, ya que es posible escribir scripts que tumben a cualquier navegador. Sin embargo aquí hablamos de un método de fácil explotación y de efectos persistentes. Es decir, Firefox queda fuera de juego hasta que se borra el fichero en cuestión, operación que no está al alcance de cualquier usuario no informado. Como consecuencia, desde páginas web puede dejarse Firefox inoperativo para cualquier usuario, y eso sí que parece un asunto grave a resolver. Por si esto fuera poco, el creador del script también afirma que no costaría demasiado ejecutar código en la máquina víctima.
ACTUALIZACIÓN (9-DIC, 11:45 am):
- Según parece, las declaraciones atribuidas a Mozilla han sido malinterpretadas (o en su caso reelaboradas). La opinión oficial de Mozilla, en boca de Mike Schroepfer, parece ser que ni siquiera han sido capaces de hacer que Firefox se cuelgue (ya hemos hablado de esto en nuestros comentarios), por lo que -según Mozilla- estaríamos ante un bug en history.dat, y no ante un problema de seguridad.
ACTUALIZACIÓN (9-DIC, 10:35 am):
- Mozilla resta importancia al fallo, diciendo que no pasa de ser "un molesto ataque de denegación de servicio". Mozilla afirma también que no han podido ver forma alguna de que el ataque permita ejecutar código.
- Esperemos que ZIPLOCK no se vea ahora estimulado a demostrar con hechos sus afirmaciones en contrario, porque, si lo lograra, tendríamos que hablar de clara incompetencia. Los próximos días serán cruciales...
ACTUALIZACIÓN (8-DIC, 9:15 am):
- También están afectadas versiones anteriores y también en Linux (acabo de comprobarlo con Firefox 1.0.4 en Fedora Core 4).
- A falta de parche, una solución temporal consiste en modificar en las preferencias de Firefox el número de días que abarca el historial -> Escribir 0 (cero) y Firefox ya no caerá.
Me lo acabo de descargar para probar en mi Ubuntu y no cae.
Incluso he probado a multiplicar el contador del segundo bucle por 10 y diré, por ser suave, que se ralentizó un pelín el sistema. Pero una vez termina, cierro firefox como si nada, y cuando lo abro sigue tan fresco...
Pero si lo hace ya se que código incluirá cierta empresa a la que Firefox le está jorobando un poco en sus páginas.
"Ojalá fuera lo bastante tonto como para no darme cuenta de lo tonto que soy"
"Ojalá fuera lo bastante tonto como para no darme cuenta de lo tonto que soy."
Sigo a mil con mi nuevo Zorro/Panda Rojo, ná'de ná, ni un pequeño temblor, "la casa está en orden...", cuenten por donde y como sucedió ¿o será porque estrené nuevo antivirus-firewall-internet security -antispam-bloqueador de "chicos malos" y todo por el módico precio del mother nuevo?
Por ahora nada pero "toco madera sin patas" como también decía mi abuela.
Víctor Hugo
Víctor Hugo
No sera ni mucho menos el unico fallo que tendra FIREFOX 1.5 conforme gane adectos
todos nos daremos cuenta que los BUGS iran creciendo en complejidad en decrimento de la seguridad del usuario, ademas si el navegador de $MICROSOF$ tambien es vulnerable sera
peor para todos porque habra mas paginas construidas para intentar despues ejecutar codigo arbitrario en el PC, otra cosa supongo que desabilitando Javascrit todo esta solucionado (pienso yo) tambien se puede preparar el firewall para que filtre scripts maliciosos. Un saludo.
..solo busco la verdad.
No hay nada como 127.0.0.1
Yo nunca he tenido este problema porque como tú ya bien has dicho si pones el historial a 0 días no ocurre. Lo tengo asi porque no me gusta que nadie (ni siquiera de mi propia familia) sepa a qué sitios voy ni qué cosas digo. Soy demasiado reservado.
Porcierto, se me olvidó comentar que a mi ya se me ha caido muchas veces desde que lo tengo instalado, no se si por influencia de una extensión que configuraba parámetros ocultos del navegador (que por supuesto después desintalé) o porque este Firefox 1.5 es mucho más inestable que sus predecesores.
Sea como sea, espero que Mozilla revise el código donde están estos "bugs" y que los solucione con la mayor rapidez posible. No serán pocos ya los 'feedbacks' recibidos por la central.
Aún a riesgo de ser pesado, insisto. Estoy con Ubuntu Breezy y Firefox 1.07 con el historial puesto a 5 días y nada; y, como dije anoche, el 1.5 tampoco cayó (tenía el historial a un día, supongo que suficiente).
¿Alguien más con Breezy, que confirme esto?
Edit: Olvidadlo, sí que son vulnerables (como era de esperar, por otra parte...)
Me instalo Ubuntu y te cuento...
Abandona toda esperanza. Me he instalado Ubuntu 5.10 con Firefox 1.5 y se va abajo como en el resto de pruebas.
Sospecho que hay algo que no haces bien, o quizás has inhabilitado la ejecución de scripts.
Siento haberte hecho perder el tiempo.
Anoche modifiqué el script de forma que supuse que no afectaría al exploit (le añadí un document.write al final); esta mañana ni me acordaba.
No veo por qué un document.write hace que el bug no funcione, pero bueno. Cuando me di cuenta de que era por eso edité el post pero supongo que ya era tarde.
Ahora solo queda ver el tiempo de respuesta del equipo de mozilla y compararlo con el de microsoft.
Ayer tenía instalado SuSE 10, esta mañana Fedora 4 y ahora mismo Kubuntu 5.10...
¡Y luego dicen que instalar Linux es difícil! ;-)