Parece que la cosa no está nada clara. De momento, no hay confirmacion oficial ni evidencias que sostengan la credibilidad de que Firefox sufre una grave vulnerabilidad.
¿Nos la han colado esos dos conferenciantes? Por lo pronto, me incluyo, ya que di credibilidad a la noticia. Habrá que ver si así efectivamente el problema es tal problema, y caso de existir, verificar si es o no de criticidad elevada.
Yo visto lo visto, empiezo a albergar algunas dudas. También se respira ambiente poco clarificador en SANS. El tiempo, como siempre, dará y quitará razones :)
ACTUALIZACIÓN IMPORTANTE: Pues parece que los conferenciantes nos la han colado. Tenía la noticia escrita en borrador, y he querido mantenerla en vez de ir directamente a la actualización que os presento. Ver para creer:
The main purpose of our talk was to be humorous.
As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.
I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.
I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim
Desde luego espero que estos dos señores aprendan a diferenciar ser hilarante con ser imbécil de aquí en adelante. Por cierto, ¿se retractarán los ávidos talibanes que han ido a tumba abierta contra el navegador equiparándolo a Internet Explorer por culpa de este asunto? Me temo que no. Estarán bien escondidos en sus agujeros :P
Yo por lo pronto, siento haber dado difusión a la noticia. Independientemente que sea un problema serio (de momento no lo es y en Mozilla por si las moscas siguen con la lupa en el código) estas cosas hay que publicarlas cuando hay confirmación oficial. Lección aprendida. Disculpadme todos, lectores y devels de Mozilla :)
Saludos
Es posible que lo que parecía un problema de criticidad muy elevada, por la posibilidad de ejecutar código arbitrario, se quede en un problema de criticidad menor, relacionada con la denegación de servicio.
Habrá que estar atentos. No es descartable un Firefox 1.5.0.8 en breve.
En un foro al que pertenezco surgió una discusión a propósito de esta noticia. Cierto es que aparecieron los comentarios apocaplíticos y sarcásticos con relación a Firefox.
Carente de otras fuentes y dado el nivel de incertidumbre como para dar respuestas concluyentes me limité a anotar que el problema se vinculaba javascript, que Firefox con la extensión NoScript uno tiene la posibilidad de habilitarlo en las sitios que considere necesario u oportuno. Habilitación que puede ser temporal (por sesión) o definitiva.
Esta característica de Firefox es una ventaja enorme sobre el IE. De hecho la extensión a la que hago referencia es la primera que instalo luego del navegador de Mozilla.
Saludos.
Independientemente del revuelo que estos dos indivíduos han organizado, sí que es cierto que últimamente parece haber más actividad de la habitual relacionada con fallos en Firefox.
Realmente no sé si tiene que ver con la mayor exposición de Firefox al mundo real (más cuota de mercado), o se debe a otros factores. En cualquier caso, prefiero un navegador libre como Firefox, aunque no sea perfecto, a uno privativo y cerrado, por muy bueno o bonito que sea.
jman_pv, dices que «Esta característica de Firefox es una ventaja enorme sobre el IE.» Falso. IE posee las zonas de seguridad, y sin necesidad de extensiones, se puede deshabilitar javascript selectivametne (listas negras o blancas) sobre las páginas que quieras. Y esto desde su versión 4. No lo defiendo, sólo digo que te equivocas en que esto es una «ventaja enorme». Las ventajas están en otras funcionalidades, no en esa precisamente. Muchas veces se critica sin conocer realmente el producto.
Por otro lado, ya en mi noticia avisaba «http://www.hispasec.com/unaaldia/2900», decía: «En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.» No sé por qué, no me terminaba de convencer la fanfarronada de las 30 vulnerabilidades más. Aun así, que SecurityFocus publicara la vulnerabilidad, fue definitivo para darle credibilidad.
¡Un saludo tocayo! Nos vemos pronto…
Felipe,
En cualquier caso, prefiero un navegador libre como Firefox, aunque no sea perfecto, a uno privativo y cerrado, por muy bueno o bonito que sea
Me sumo a tu pensamiento :)
Ssantos,
Un saludo tocayo, el 13 de octubre me pasaré por el laboratorio, id preparando las gambas y la Cruzcampo :P
Por cierto, De Los Santos firma un boletín sobre «la broma». Echad un ojo :)
http://www.hispasec.com/unaaldia/2902
Según un informe del diario El País de España, en los seis primeros meses de este año se han detectado 38 fallos de seguridad en el navegador Internet Explorer, mientras que en Firefox se han hallado 47.
Y por ahora yo prefiero Opera
Bueno, de vez en cuando nos colarán cosas como éstas. De todos modos la credibilidad de esos dos «personajes» ha quedado a la altura del betún.
A igualdad de condiciones siempre es mejor Firefox, porque ante una vulnerabilidad tener a libre disposición el código fuente, permite a un programador parchearlo. En cambio IE no deja abierta esta opción. :-)
Lo de que Microsoft patrocinaba el evento donde los «personajes» revelaron las «vulnerabilidades» de Firefox espero que no tuviese nada que ver con el affaire. Es que puestos a ser malpensados…. ;)