La publicación de la versión 2.0.0.2 del navegador Mozilla Firefox corrige numerosos problemas de seguridad, sin embargo, continúa siendo vulnerable a otros fallos encontrados anteriormente por Michal Zalewski.
La nueva versión corrige hasta once problemas de seguridad, algunos de ellos críticos pero no ha dado respuesta a otros fallos descubiertos en los últimos días por Michal Zalewski, el nuevo azote de los navegadores.
Uno de los fallos más graves corregidos se basa en el manejo de los eventos «onunload» y también Internet Explorer es vulnerable. Estos eventos permiten que una web especialmente manipulada llegue a abortar la carga de una página nueva. Bajo Internet Explorer, esto puede ser aprovechado para falsificar la barra de direcciones y hacer pensar al usuario que se encuentra bajo una dirección legítima. Bajo Firefox, este fallo es mucho más grave (podría permitir la ejecución de código) y es calificado por Mozilla como crítico. Parece haber sido solucionado en tiempo récord en esta última versión.
Zalewski es fiel seguidor de la filosofía de la revelación total de los detalles de las vulnerabilidades de forma pública, lo que ha obligado a la organización Mozilla a retrasar la publicación de esta última actualización para solucionar en ella algunos fallos descubiertos últimamente. Aun así no han podido con todos. La vulnerabilidad por la que Zalewski llegó a calificar a Firefox como «el mejor amigo de los phishers», no ha sido corregida. Este fallo se basa en que Firefox permite que código script abra una pestaña con una dirección en blanco y se añada contenido arbitrario en ella. También se puede aprovechar para inyectar código en la propia página, lo que facilitaría los ataques phishing.
Tampoco parece haber sido corregido un fallo que permitiría por ejemplo el robo de cookies a través de la lista de favoritos, desde los que se puede inyectar y ejecutar código script. Según Zalewski, la extensión NoScript no protegería totalmente de este problema.
Además, el navegador sigue siendo vulnerable a ciertos problemas de denegación de servicio creados por Zalewski que permiten que el navegador deje de responder al visitar una página. Estas pruebas de concepto han sido capaces de afectar a casi todas las nuevas versiones de Firefox creadas desde hace meses.
Por último, destacar que esta última actualización parece haber solucionado por fin el problema de robo de credenciales almacenadas en el administrador de contraseñas del navegador, que permitía a dominios de terceros tener acceso a ellas a través de un ataque basado en Reverse Cross-Site Request (RCSR). Este fallo fue descubierto a mediados de noviembre de 2006 y ha traído de cabeza a la comunidad alrededor de Firefox para poder implementar una solución aceptable manteniendo una funcionalidad adecuada de toda la aplicación.
Hasta ahora Firefox no está siendo atacado (por mafias informáticas) como el navegador más usado Internet Explorer. Si su ritmo de crecimiento sigue al alza, deberá demostrar que es capaz de aguantar una eventual embestida en forma de ataques reales que lo tomen como objetivo.
Así las cosas, se recomienda una inmediata actualización del navegador desde http://www.mozilla.org o el uso de alternativas.
ssantos@hispasec.com
Más información:
Vulnerabilidades corregidas en versión 2.0.0.2:
http://www.mozilla.org/security/announce/2007/mfsa2007-08.html
http://www.mozilla.org/security/announce/2007/mfsa2007-07.html
http://www.mozilla.org/security/announce/2007/mfsa2007-06.html
http://www.mozilla.org/security/announce/2007/mfsa2007-05.html
http://www.mozilla.org/security/announce/2007/mfsa2007-04.html
http://www.mozilla.org/security/announce/2007/mfsa2007-03.html
http://www.mozilla.org/security/announce/2007/mfsa2007-02.html
http://www.mozilla.org/security/announce/2007/mfsa2007-01.html
Memory corruption when onUnload is mixed with document.write()s
https://bugzilla.mozilla.org/show_bug.cgi?id=371321
bookmarked data: or javascript: URLs can be used to cross domains
https://bugzilla.mozilla.org/show_bug.cgi?id=371179
Firefox bookmark cross-domain surfing vulnerability
http://lcamtuf.coredump.cx/ffbook/
Deja una respuesta