Mozilla ha publicado, en un anuncio descolgado del resto, que la última versión 2.0.0.2 del navegador Firefox también corrige una vulnerabilidad introducida por un parche anterior. El parche, publicado en diciembre, no sólo no corregía el fallo que pretendía sino que empeoraba la situación permitiendo la ejecución de código arbitrario.
Mozilla publicó el 25 de febrero una nueva versión de Firefox que solucionaba numerosos problemas de seguridad, aunque no todos los conocidos hasta el momento. El día 5 de marzo, hace público un boletín que anuncia que en esa nueva versión aparecida a finales de febrero se ha corregido una grave vulnerabilidad que permitía la ejecución de código. Lo curioso, es que ese fallo había sido introducido en la versión 2.0.0.1 aparecida el 19 de diciembre de 2006, con el parche mfsa2006-72. Este parche solucionaba la inyección JavaScript en el atributo SRC de un elemento IMG cargado en un frame. Al parecer, con la aplicación del parche, no sólo no se solucionaba el problema sino que además se permitía la ejecución de código arbitrario. Por si fuese poco, el tener JavaScript desactivado no evitaba la vulnerabilidad.
Thunderbird no se ve afectado por este problema.
Este incidente recuerda al sufrido por Internet Explorer en agosto de 2006 con su fatídico boletín MS06-042. Lo que en principio se consideró un “efecto colateral” de la aplicación de parche, que emitía un error bajo ciertas circunstancias, se convirtió en una vulnerabilidad crítica que permitía la ejecución de código. Si bien con Internet Explorer se introdujo una vulnerabilidad completamente nueva a través de un parche, con Firefox no ha solucionado por completo el fallo (situación más habitual de lo que se piensa), sino que lo ha empeorado considerablemente.
El hecho de que el boletín aparezca varios días después que el resto, descolgado del grueso de actualizaciones, puede ser interpretado como un intento de pasar de puntillas ante un grave fallo o un simple problema temporal. En cualquier caso, la última versión 2.0.0.2 soluciona el problema, por tanto quien actualizó entonces se supone protegido.
Con Zalewski empeñado en buscar las cosquillas del navegador, importantes retrasos en las actualizaciones (se tardó más de tres meses en corregir el problema de robo de credenciales almacenadas en el administrador de contraseñas) y parches que empeoran la situación, Firefox vuelve a mostrar cierta debilidad en el campo de la seguridad.
Como repetíamos en un boletín anterior, por ahora Firefox no está siendo atacado (por mafias informáticas) como el navegador más usado Internet Explorer. ¿Será capaz de demostrar que puede aguantar “dignamente” una eventual embestida en forma de ataques reales que lo tomen como objetivo?
ssantos@hispasec.com
Más información:
Privilege escalation by setting img.src to javascript: URI
http://www.mozilla.org/security/announce/2007/mfsa2007-09.html
Mozilla has patched a critical patch bug
http://www.heise-security.co.uk/news/86349
La nueva versión de Mozilla Firefox no corrige todas las
vulnerabilidades conocidas
http://www.hispasec.com/unaaldia/3047/
23/08/2006 El último parche acumulativo para Internet Explorer introduce
una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860
Deja un comentario