Zero Day Initiative (ZDI), un sitio de la compañía de seguridad informática TippingPoint especializado en comprar vulnerabilidades de software (hay que ver las cosas que uno puede vender en este mundo!), anunció ayer que ya ha sido descubierta una vulnerabilidad crítica en Firefox 3. Sin embargo, las características de la misma se mantienen en secreto mientras Mozilla hace su propia investigación. Dice la nota:
Lo que podemos confirmar es que unas cinco horas después del lanzamiento oficial de Firefox 3.0 el pasado 17 de junio, nuestro programa Zero Day Initiative recibió una vulnerabilidad crítica que afecta a esta versión y a las primeras de Firefox 2.0.0.x. Verificamos la vulnerabilidad en nuestro laboratorio, la compramos al investigador y de inmediato informamos al equipo de seguridad de Mozilla. Una explotación satisfactoria de esta vulnerabilidad permitiría a un atacante ejecutar el código que desee. Como muchas de las vulnerabilidades que hemos visto estos días en navegadores, se requiere de cierta interacción del usuario, como hacer click en un enlace o visitar una página web maliciosa.
Ya que Mozilla está trabajando en esto, no divulgaremos la información hasta que esté disponible una actualización de seguridad, como está previsto en nuestra política de revelación de vulnerabilidades.
Todo apunta a que el investigador que le vendió la información a ZDI estaba esperando el lanzamiento para proceder, tal como ya sospechan los usuarios que comentaron en la nota publicada ayer por el sitio. En todo caso, Mozilla confirmó ayer mismo que está trabajando en una actualización de seguridad:
El problema está actualmente bajo investigación. Para proteger a nuestros usuarios, los detalles se mantendrán en secreto hasta que una actualización de seguridad esté disponible. No se ha liberado información alguna, los detalles son privados y el riesgo para los usuarios es mínimo. (…) En Mozilla apreciamos cualquier reporte de problemas de seguridad, pues es así como hacemos más sólido y seguro al navegador. La mejor manera de mantener seguros a los usuarios de Firefox es reportar los problemas directamente a Mozilla, tal como decidió hacer TippingPoint, y esperar hasta que esté disponible la correspondiente actualización para hacer pública la información.
En fin. Todos los navegadores tienen vulnerabilidades y no es Firefox el que lleva la delantera en tan embarazoso rubro, pero si te preocupa este problema siempre puedes seguir la recomendación de Giorgio Maone: instalar NoScript.
3 Comentarios
12:00 | #
Joder menudos tios. Se tiran un siglo para actualizar el programa y ahora tiene bugs. Vaya tela compadres.
12:03 | #
recargado,
el que conozca un software sin bugs, que tire la primera piedra.
12:43 | #
A no caer en la trampa, que eso precisamente buscaron. Alguien suelto, en lugar de aportar a la comunidad reportando el bug a tiempo, se cortó solo y esperó la salida para hacer una maldad. A decir las cosas como son. Además, es un bug que afecta también a Firefox 2.
Y no se trata de justificar que el navegador sea perfecto, porque no lo es. Pero no olvidarse que es un proyecto comunitario y que otra persona en su lugar lo hubiese reportado a tiempo. De todas formas, Mozilla está trabajando en ello con rapidez.
2 Trackbacks