Skip to content

¿Sufre Firefox una grave vulnerabilidad?

Publicado por Sergio Hernando el 3 octubre 2006

Parece que la cosa no está nada clara. De momento, no hay confirmacion oficial ni evidencias que sostengan la credibilidad de que Firefox sufre una grave vulnerabilidad.

mozilla firefox

¿Nos la han colado esos dos conferenciantes? Por lo pronto, me incluyo, ya que di credibilidad a la noticia. Habrá que ver si así efectivamente el problema es tal problema, y caso de existir, verificar si es o no de criticidad elevada.

Yo visto lo visto, empiezo a albergar algunas dudas. También se respira ambiente poco clarificador en SANS. El tiempo, como siempre, dará y quitará razones :)

ACTUALIZACIÓN IMPORTANTE: Pues parece que los conferenciantes nos la han colado. Tenía la noticia escrita en borrador, y he querido mantenerla en vez de ir directamente a la actualización que os presento. Ver para creer:

The main purpose of our talk was to be humorous.

As part of our talk we mentioned that there was a previously known Firefox vulnerability that could result in a stack overflow ending up in remote code execution. However, the code we presented did not in fact do this, and I personally have not gotten it to result in code execution, nor do I know of anyone who has.

I have not succeeded in making this code do anything more than cause a crash and eat up system resources, and I certainly haven’t used it to take over anyone else’s computer and execute arbitrary code.

I do not have 30 undisclosed Firefox vulnerabilities, nor did I ever make this claim

Desde luego espero que estos dos señores aprendan a diferenciar ser hilarante con ser imbécil de aquí en adelante. Por cierto, ¿se retractarán los ávidos talibanes que han ido a tumba abierta contra el navegador equiparándolo a Internet Explorer por culpa de este asunto? Me temo que no. Estarán bien escondidos en sus agujeros :P

Yo por lo pronto, siento haber dado difusión a la noticia. Independientemente que sea un problema serio (de momento no lo es y en Mozilla por si las moscas siguen con la lupa en el código) estas cosas hay que publicarlas cuando hay confirmación oficial. Lección aprendida. Disculpadme todos, lectores y devels de Mozilla :)

Saludos

Be Sociable, Share!

Categoría/s → Seguridad

9 comentarios
  1. 3 octubre 2006

    Es posible que lo que parecía un problema de criticidad muy elevada, por la posibilidad de ejecutar código arbitrario, se quede en un problema de criticidad menor, relacionada con la denegación de servicio.

    Habrá que estar atentos. No es descartable un Firefox 1.5.0.8 en breve.

  2. 4 octubre 2006
    jman_pv permalink

    En un foro al que pertenezco surgió una discusión a propósito de esta noticia. Cierto es que aparecieron los comentarios apocaplíticos y sarcásticos con relación a Firefox.
    Carente de otras fuentes y dado el nivel de incertidumbre como para dar respuestas concluyentes me limité a anotar que el problema se vinculaba javascript, que Firefox con la extensión NoScript uno tiene la posibilidad de habilitarlo en las sitios que considere necesario u oportuno. Habilitación que puede ser temporal (por sesión) o definitiva.
    Esta característica de Firefox es una ventaja enorme sobre el IE. De hecho la extensión a la que hago referencia es la primera que instalo luego del navegador de Mozilla.

    Saludos.

  3. 4 octubre 2006

    Independientemente del revuelo que estos dos indivíduos han organizado, sí que es cierto que últimamente parece haber más actividad de la habitual relacionada con fallos en Firefox.

    Realmente no sé si tiene que ver con la mayor exposición de Firefox al mundo real (más cuota de mercado), o se debe a otros factores. En cualquier caso, prefiero un navegador libre como Firefox, aunque no sea perfecto, a uno privativo y cerrado, por muy bueno o bonito que sea.

  4. 4 octubre 2006
    Sergio de los Santos permalink

    jman_pv, dices que “Esta característica de Firefox es una ventaja enorme sobre el IE.” Falso. IE posee las zonas de seguridad, y sin necesidad de extensiones, se puede deshabilitar javascript selectivametne (listas negras o blancas) sobre las páginas que quieras. Y esto desde su versión 4. No lo defiendo, sólo digo que te equivocas en que esto es una “ventaja enorme”. Las ventajas están en otras funcionalidades, no en esa precisamente. Muchas veces se critica sin conocer realmente el producto.

    Por otro lado, ya en mi noticia avisaba “http://www.hispasec.com/unaaldia/2900”, decía: “En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.” No sé por qué, no me terminaba de convencer la fanfarronada de las 30 vulnerabilidades más. Aun así, que SecurityFocus publicara la vulnerabilidad, fue definitivo para darle credibilidad.

    ¡Un saludo tocayo! Nos vemos pronto…

  5. 4 octubre 2006

    Felipe,

    En cualquier caso, prefiero un navegador libre como Firefox, aunque no sea perfecto, a uno privativo y cerrado, por muy bueno o bonito que sea

    Me sumo a tu pensamiento :)

    Ssantos,

    Un saludo tocayo, el 13 de octubre me pasaré por el laboratorio, id preparando las gambas y la Cruzcampo :P

    Por cierto, De Los Santos firma un boletín sobre “la broma”. Echad un ojo :)

    http://www.hispasec.com/unaaldia/2902

  6. 5 octubre 2006
    Andres Ramirez permalink

    Según un informe del diario El País de España, en los seis primeros meses de este año se han detectado 38 fallos de seguridad en el navegador Internet Explorer, mientras que en Firefox se han hallado 47.
    Y por ahora yo prefiero Opera

  7. 7 octubre 2006

    Bueno, de vez en cuando nos colarán cosas como éstas. De todos modos la credibilidad de esos dos “personajes” ha quedado a la altura del betún.

    A igualdad de condiciones siempre es mejor Firefox, porque ante una vulnerabilidad tener a libre disposición el código fuente, permite a un programador parchearlo. En cambio IE no deja abierta esta opción. :-)

  8. 8 octubre 2006

    Lo de que Microsoft patrocinaba el evento donde los “personajes” revelaron las “vulnerabilidades” de Firefox espero que no tuviese nada que ver con el affaire. Es que puestos a ser malpensados…. ;)

Trackbacks & Pingbacks

  1. Sergio Hernando » Microsoft fue patrocinador platinum de la TorCoon

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS