martes, 23 de marzo de 2010

La versión 3.6.2 de Firefox soluciona el 0 day que se conoció hace un mes

Mozilla por fin ha publicado oficialmente la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hace un mes. Por su parte (en su dinámica habitual) el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido.

La compañía rusa de seguridad Intevydis, aseguró a mediados de febrero que conocía una vulnerabilidad del navegador Firefox que podría permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dijo que no podía confirmar el fallo. Evgeny Legerov, de Intevydis, dijo que encontrar el problema y crear un exploit no era trivial pero que era muy fiable y funcionaba en la instalación por defecto del navegador sobre XP y Vista. Efectivamente se confirma que el fallo era real, que en esta versión 3.6.2 se soluciona y que estaba siendo aprovechada por atacantes desde hace semanas.

Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, contenía una vulnerabilidad desconocida hasta ahora para Firefox 3.6. Desde entonces parece que el fallo ha estado siendo aprovechado, aunque Intevydis mantuvo en secreto la vulnerabilidad y solo fue comercializada a través de VulDisco. Pero, como era de esperar, en algún momento la información ha sido filtrada y ha caído en manos de los atacantes. Mozilla no pudo encontrar la vulnerabilidad aunque supiera que existía, y en un principio no reconocía el fallo. Al parecer, el propio Evgeny Legerov se puso en contacto con la fundación el 18 de marzo, después de que la compañía Secunia confirmara la vulnerabilidad. Aportó los detalles suficientes y entonces es cuando lo han corregido. En total, se ha necesitado aproximadamente un mes para tener lista una versión estable y oficial que solucione el problema.

Mozilla ha adelantado su nueva versión, prevista para el 30 de marzo. Como viene siendo habitual, y ante el inminente peligro, la Oficina Federal para la Seguridad de la Información alemana recomendaba no usar Firefox hasta que existiese una actualización oficial. Primero, la recomendación de abandono temporal del navegador le tocó a Chrome, luego a Internet Explorer (noticia con mucha más repercusión que el resto) y ahora a Firefox. Efectivamente, como adelantábamos en una una-al-día anterior, "si la intención [del gobierno alemán] es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga."


Sergio de los Santos
ssantos@hispasec.com


Más información:

Update on Secunia Advisory SA38608
http://blog.mozilla.com/security/2010/03/18/update-on-secunia-advisory-sa38608/

Mozilla Foundation Security Advisory 2010-08
http://www.mozilla.org/security/announce/2010/mfsa2010-08.html

Posible ejecución de código (sin parche) en Firefox 3.6
http://www.hispasec.com/unaaldia/4136

Recomendaciones de los gobiernos alemán y francés sobre navegadores
http://www.hispasec.com/unaaldia/4104

No hay comentarios:

Publicar un comentario en la entrada