Estas aquiContenido / Descubren vulnerabilidad en el mecanismo de actualización de múltiples extensiones de Firefox
Descubren vulnerabilidad en el mecanismo de actualización de múltiples extensiones de Firefox
Christopher Soghoian ha descrito una vulnerabilidad en el mecanismo de actualización de múltiples extensiones de Firefox, incluyendo Google Toolbar, Google Browser Sync, Yahoo Toolbar, Del.icio.us Extension, Facebook Toolbar, AOL Toolbar, Ask.com Toolbar, LinkedIn Browser Toolbar, Netcraft Anti-Phishing Toolbar y PhishTank SiteChecker, entre otras.
Según Soghoian, el mecanismo de actualización de estas extensiones es sensible a un ataque man-in-the-middle, ya que cada extensión incluye una dirección IP que Firefox consulta cada vez que arranca (o cada 24 horas, según otras versiones), para comprobar si existen actualizaciones. Como consecuencia, un atacante podría engañar al ordenador de la víctima haciéndose pasar por uno de esos sitios, para instalar cualquier software malicioso en lugar de la extensión. El problema sólo puede darse cuando la extensión se descarga mediante el protocolo http:// en lugar de https://, por lo que las extensiones alojadas en el servicio add-ons de Mozilla son en principio seguras...
Actualizado (23:42): Mozilla acaba de publicar un destacado aviso al respecto en su sitio para desarrolladores.
El problema se agravaría porque muchas extensiones (por ejemplo las de utilidades Google) no solicitan confirmación al usuario para ser actualizadas. Sin embargo, el grado de compromiso del equipo víctima requerido para que este ataque funcione, ya entrañaría de por sí una grave susceptibilidad a muchos otros tipos de ataque.
El descubridor del bug parece particularmente molesto con la respuesta de algunos de los productores de extensiones afectadas, que inicialmente no respondieron a su aviso y ahora (mes y medio después) aún demandan más tiempo para resolver la vulnerabilidad.
Versión para imprimir
No alcanza a salir la versión 2.0.0.4 y van a tener que pensar de inmediato en la 2.0.0.5 XD
Eso es bueno. Peor sería que no sacaran parches e intentaran ocultar los fallos como hacen otros...
Saludos.
El problema está en las extensiones, no en el firefox...
Leer es bueno, leer es sano...
maticesss
todos usamos firefox con extensiones, por usamos firefox por sus extensionesssssss
asi que si modifiquen firefox para que sus desarrolladores de extensiones no las actualicen sin pedirme permiso
que modfifiquen firefox para que la extensiones tengan que actualizarse de una forma segura
etc.. vamos que el problema es de firefox, si bien no de su nucleo, si del concepto del navegador...
Aqui se demuestra una vez mas las ventajas de ofrecer software de codigo abierto: muchas mas personas pueden leer el codigo fuente y aportar posibles soluciones a una velocidad pasmosa. No hace ni 2 dias salio un bug para la 0.3 y ahora con la 0.4 en ya disponible se descubre otro
Esto no ocurre con el software privativo, donde un parche ha de ser diseñado, programado y publicado por los poseedores de la patente, que muchas veces carecen de la presteza necesaria para sacarlo lo mas rapido posible
"Users are vulnerable and are at risk of an attacker silently installing malicious software on their computers. This possibility exists whenever the user cannot trust their domain name server (DNS) or network connection. Examples of this include public wireless networks, and users connected to compromised home routers"
Sin haberle echado un ojo al vídeo ... me parece que "la vulnerabilidad" hace honor al nombre del weblog que la publica: "slight paranoia".
Si mal no he entendido, y si lo he entendido mal, por favor, agradezco la corrección. El "servicio de actualización es inseguro" porque conecta a un servidor "http", en lugar de a un servidor "https", y por tanto, si "alguien es capaz de modificar la resolución DNS" o "las tablas de rutas" puede instalar "software malicioso" en las computadoras.
Realmente, si alguien es capaz de modificar estos elementos de red, de lo "último" que se tiene que preocupar el usuario, es de que le instalen "software malicioso" en su PC, pues sus comunicaciones serán públicas, todo su tráfico podrá ser alterado, y todo lo que descargue desde la red, podrá ser falsificado, con mayor o menor esfuerzo.
Es más, a menos que por defecto, el servicio de autoactualización, deseche los certificados autofirmados, no tengo tan claro que HTTPS suponga realmente una corrección a la "supuesta" vulnerabilidad existente.
--
FraMe - frame at kernelpanik.org
Kernelpanik Labs - http://www.kernelpanik.org
Lo bueno es que solo uso extensiones de la rama https:// aunque sería bueno que para que los demás usuarios se sientan protegidos arreglen las direcciones de esas extensiones.
También cualquiera que haya instalado extensiones que no provengan del almacén oficial debería eliminarlas para estar seguro de que no son maliciosas. Al menos eso dicen.