Alerta: Graves vulnerabilidades en Mozilla Firefox permiten la ejecución remota de código arbitrario

Buenas,

Parece que el mes viene calentito en lo que a seguridad de navegadores se refiere. Hace poco estaba en el candelero Internet Explorer, y hoy le toca subir a la palestra a Firefox.

Según veo en este advisory de Secunia, Firefox padece un problema de seguridad de bastante gravedad. En el enlace se apunta al foro de Inmunity Inc donde se puede apreciar que la comunicación inicial data de comienzos de Febrero, momento en que el código de explotación fue incorporado a VulnDisco Pack 9.0, un módulo de la popular suite de pentesting Immunity’s Canvas. No hay mucha información al respecto, pero parece que el problema afecta a la versión 3.6 y posiblemente a las anteriores. Según la gente de Inmunity el código necesita cierto trabajo para funcionar, pero por las pruebas que han realizado parece bastante estable. No tengo tampoco constancia de que el código haya sido liberado públicamente, lo cual no me extraña lo más mínimo, ya que la exclusividad es un aliciente para los potenciales compradores de Canvas que perdería su sentido si el código estuviera públicamente disponible.

A este problema hay que añadir otros problemas de extrema gravedad que también podrían propiciar el compromiso de la máquina de las víctimas. Estos problemas (ver enlace) pueden ser solucionados instalando las versiones 3.0.18 o 3.5.8 que fueron liberadas ayer mismo. Aunque parece que estas versiones no resuelven el primero de los problemas que os comento, es más que sensato actualizar para prevenir daños mayores, o al menos para reducir la exposición ante ataques.

Como no podía ser de otro modo, habida cuenta de que la seguridad no está garantizada sin que estos problemas sean resueltos, es de recibo desaconsejar el uso de Mozilla Firefox hasta que dispongáis de versiones actualizadas, especialmente para el primero de los problemas que hemos comentado, sobre el cual no tengo más información y para el que de momento, no hay parche disponible.

Un saludo,

Más problemas para Internet Explorer: Dos nuevas vulnerabilidades permiten la obtención remota de ficheros del sistema

Buenas,

Definitivamente 2010 no ha empezado con buen pie para Internet Explorer. Si hace poco vivía un 0-day con importantes consecuencias para la seguridad, ahora tenemos en lo alto de la mesa un problema moderadamente crítico (definitivamente menos relevante que el anterior) que sin embargo vuelve a requerir por parte de los usuarios una atención especial.

Los amigos de Core Security descubrieron tiempo atrás un par de problemas (uno tiene que ver con la etiqueta de objetos dinamicos y el otro con URLMON) que ahora han hecho públicos, mediante los cuales un atacante podría extraer información sensible almacenada en ficheros locales de un sistema Windows siempre y cuando el usuario emplease una versión vulnerable y visitase una página especialmente conformada. No se necesita intervención alguna del usuario mas allá de visitar la pagina maliciosa, si bien este problema no permite (afortunadamente) comprometer el sistema en su totalidad como ocurriera con el exploit Aurora.

Quizás sea reseñable indicar que estas vulnerabilidades son, en palabras de los descubridores, una variación de otros problemas descubiertos anteriormente por Core (CoreLabs Security Advisories CORE-2008-0103 y CORE-2008-0826), lo que quizás sirva para reavivar el eterno debate sobre si los parches que ofrecen los fabricantes solventan siempre los problemas de raíz o si por el contrario, son paños de agua caliente para salir del paso.

No hay parche disponible para estas vulnerabilidades y Microsoft ha documentado el correspondiente Security Advisory en el que se comentan los posibles medidas de mitigación y donde la compañia deja entrever que no descarta publicar un parche fuera de ciclo (out-of-band) al respecto.

¿Es mi versión de Internet Explorer vulnerable?

De acuerdo a la información liberada por los descubridores, la relación de versiones vulnerable es la que sigue:

  • Internet Explorer 5.01 SP4 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP1 corriendo en Windows 2000 SP4
  • Internet Explorer 6 SP2 corriendo en Windows XP SP2
  • Internet Explorer 6 SP2 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows XP SP2
  • Internet Explorer 7 corriendo en Windows XP SP3
  • Internet Explorer 7 corriendo en Windows Vista SP1
  • Internet Explorer 7 corriendo en Windows Vista SP2
  • Internet Explorer 7 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 7 corriendo en Windows Server 2008 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows XP SP2
  • Internet Explorer 8 corriendo en Windows XP SP3
  • Internet Explorer 8 corriendo en Windows Vista SP1 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Vista SP2 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows 7 si el modo protegido está desactivado
  • Internet Explorer 8 corriendo en Windows Server 2003 SP2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad
  • Internet Explorer 8 corriendo en Windows Server 2008 R2 si el modo protegido está desactivado y no se usa la configuración mejorada de seguridad

No son vulnerables las siguientes configuraciones:

  • Internet Explorer 7 corriendo en Windows Vista, Windows Server 2003 o Windows 7 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Vista o Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows Server 2003 si el modo protegido está activado
  • Internet Explorer 8 corriendo en Windows 7 o Windows Server 2008 R2 si el modo protegido está activado

Lo que debes hacer si usas Internet Explorer

Lo primero es leete el Microsoft Security Advisory (980088): http://www.microsoft.com/technet/security/advisory/980088.mspx.

Una vez te lo hayas leído puedes aplicar alguna de las siguientes acciones de mitigación (no es necesario ejecutarlas todas)

  1. Asegúrate de ejecutar Internet Explorer con el modo protegido activado, si es que tu sistema operativo lo permite y si entiendes las limitaciones que se pueden producir al usarlo (http://blogs.msdn.com/ie/archive/2007/04/04/protected-mode-for-ie7-in-windows-vista-is-it-on-or-off.aspx). Como probablemente te suene a chino esto del modo protegido, puedes documentarte en http://msdn.microsoft.com/en-us/library/bb250462(VS.85).aspx. Este modo viene activado por defecto en la zona de seguridad de Internet sólo en Windows Vista, Windows 7 y Windows Server 2008.
  2. Emplea la funcionalidad Network Protocol Lockdown del navegador. Puedes activarlo y desactivarlo en http://support.microsoft.com/kb/980088.
  3. En la configuración por zonas, establece el nivel de seguridad tanto para Internet como Intranet en ALTO, con lo que se impedirá la ejecucion de scripts y controles ActiveX. Nótese que esto puede tener implicaciones en ciertas aplicaciones Web que usen estos componentes.
  4. Desactiva el scripting activo para las zonas Internet e Intranet Local manualmente, estableciendo una configuración de las mismas de tipo personalizado.

Si por alguna razón no comprendes el trasfondo de estas posibles soluciones (lo cual no me extrañaría lo más mínimo) o si tienes dudas sobre su utilización, lo más sensato, hasta que se publique un parche, es no usar Internet Explorer a la hora de visitar páginas que no sean de nuestra más exclusiva confianza. Un navegador alternativo es recomendable en estos casos.

Un saludo,