sábado, 20 de diciembre de 2008

La última versión de Firefox para Windows no soluciona todas las vulnerabilidades que afirma corregir

La fundación Mozilla advirtió que la rama 2 de Firefox acababa con la versión 2.0.0.19. Esta sería la última en la que se solventarían vulnerabilidades. Sin embargo se ha visto obligada a lanzar urgentemente la versión 2.0.0.20 que corrige uno de los fallos que se suponían solucionados en la 2.0.0.19 para Windows. Al parecer, durante el proceso de empaquetamiento y firma de la versión para Windows, olvidaron incluir una de las correcciones.

La versión 2.0.0.19 de Firefox sería la última de esta rama. Sin embargo, durante el fin de semana se ha puesto a disposición de los usuarios la versión de Firefox 2.0.0.20, que no corrige nuevas vulnerabilidades. Según el director de Firefox Mike Beltzner, la razón de la publicación es que la versión 2.0.0.19 no corrige una de las vulnerabilidades que decía solucionar. No ha especificado cuál.

Firefox anunció hace solo unos días sus versiones 3.0.5 y 2.0.0.19 que corregían 10 vulnerabilidades. El problema es que la versión para Windows sólo contenía 9 de esas soluciones. Durante uno de los procesos de publicación, una de las correcciones no se aplicó. Aun así se ha lanzado la versión 2.0.0.20 para todas las plataformas, no solo para Windows, solo para mantener la concordancia. El problema ha sido calificado por los propios desarrolladores como un "inocente error de oficina", esto es, que no se ha debido a un error puramente técnico.

La fundación Mozilla llevaba tiempo queriendo deshacerse de la rama 2 del navegador. No publicaría más versiones que corrigiesen problemas de seguridad, por tanto, los usuarios se verían así obligados a utilizar la rama 3. En concreto la versión 3.0.0.5. También desactivó la protección antiphisihing de la rama que querían abandonar.

Se recomienda por tanto a todos los usuarios de Firefox para Windows, que actualicen a la versión 2.0.0.20 o pasen a la rama 3 si es posible.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Firefox3.1/StatusMeetings/2008-12-17
https://wiki.mozilla.org/Firefox3.1/StatusMeetings/2008-12-17

Mozilla misses a fix for Firefox 2.0.19
http://www.heise-online.co.uk/news/Mozilla-misses-a-fix-for-Firefox-2-0-19--/112286

No hay comentarios:

Publicar un comentario en la entrada