La vulnerabilidad en Firefox 3.5 ya estaba resuelta

Por Nico | Archivado en Noticias | Comentarios (20)

En el día de hoy se hizo pública una vulnerabilidad grave en Firefox 3.5 en Windows que permite ejecución de código malicioso en el equipo del usuario. Se trata de un problema de Javascript, por lo que una recomendación es desactivar Javascript o instalar la extensión NoScript.

Fallo de seguridad en Firefox 3.5

El fallo fue publicado en este enlace, donde todo el mundo puede ver el código y hasta probarlo. Luego en Hispasec se comenta que no hay parche oficial y posteriormente en Meneame se hace eco de la noticia. Comienzan a recomendar navegadores alternativos, desactivar Javascript, etc y otros usuarios comentan que habrá solución pronto.

Lo cierto es que la solución ya existía antes de que alguien publicara la vulnerabilidad, tal como se puede ver en este artículo. Se abrió un bug en Bugzilla el 9 de julio y el mismo día se soluciona con un parche creado para la versión en desarrollo de Firefox 3.6. En el bug abierto hay demostraciones públicas, por lo que de ahí se filtra la vulnerabilidad publicada y por último se creó el parche para la versión 3.5 que puede verse aquí.

Por lo tanto no solo existe un parche para Firefox 3.5 sino que la solución estaba antes que se haga público el fallo, que es basado en las pruebas que los desarrolladores testeaban para solucionarlo. Algo no estuvo muy bien aquí.

Actualización:  Firefox 3.5.1 ya está disponible y corrige esta vulnerabilidad.

9 Comentarios

  1. SoloSalsero
    14 julio 2009
    14:39 | #

    Pero entonces la solución actual es usar NoScript o desactivar Javascript, verdad?
  2. Nico
    14 julio 2009
    14:45 | #

    Exacto. O como se menciona en un artículo del blog de Mozilla, modificando un valor en about:config. No creo que sea para tener miedo. Hay vulnerabilidades que estuvieron por ejemplo 18 meses sin ser resueltas y no se dijo demasiado. En este caso viene la solución con una actualización muy pronto.

    Saludos
  3. Deybi
    14 julio 2009
    19:50 | #

    Hola Nico.

    Pero mira que buena noticia. Yo no tenía ningún navegador “bueno” instalado, así que opté por usar Chrome. Entonces, ¿olvidado el problema?.

    ¡Saludos!.
  4. Nico
    14 julio 2009
    20:10 | #

    Deybi: para mi todos son navegadores, ni “buenos” ni “malos”. Que cada uno use y deje usar al resto el que le plazca.

    Saludos
  5. sysman
    15 julio 2009
    23:28 | #

    LA VULNERABILIDAD SOLO AFECTA A WINDOWS
  6. Nico
    16 julio 2009
    0:23 | #

    sysman: exacto, tal como lo dice el post. Ahora a esperar una actualización rápida.
  7. KaaMoS
    16 julio 2009
    7:24 | #

    …y si que va a ser rápida…

    Ya se ha anunciado el lanzamiento de la versión 3.5.1 para este fin de semana (donde lo rápido del lanzamiento presume que traerá incluída la corrección de esta vunerabilidad).

    Pero no solo eso, también se sabe que a más tardar en la primera semana de Agosto saldrá la versión 3.5.2.

    Vale la pena recordar que LA ÚNICA VERSIÓN AFECTADA con este problema es la 3.5.
  8. Nico
    16 julio 2009
    12:46 | #

    Gracias por la aclaración KaaMoS. En la versión 3.x no existe la vulnerabilidad ya que esas versiones no incluyen el compilador Javascript JIT.
  9. Nico
    16 julio 2009
    23:39 | #

    Al final, la actualización no tardó más de una semana en liberarse:

    http://www.zonafirefox.net/2009/07/firefox-351-disponible.html

Escribir un Comentario

*
*