Maestros del Web

Un espacio para los entusiastas del web

Dos vulnerabilidades críticas en Firefox 1.0.3

Publicado el 9 de Mayo, 2005

Podrían permitir ejecutar código arbitrario sin requerir la interacción del usuario

Según apareció ayer en la web de Secunia, han sido descubiertas dos nuevas vulnerabilidades categorizadas como “Extremadamente críticas” que afectan a Firefox 1.0.3 y versiones anteriores.

La Primera de ellas está relacionada con la inadecuada protección de las URLs con JavaScript en Iframes. La segunda tiene que ver con deficiencias en la verificación del parámetro IconUrl en InstallTrigger.install().
Con una combinación de ambos se podría ejecutar código arbitrario sin autorización explícita del usuario y con ciertos privilegios sobre el sistema.

Se pueden ver los detalles en la web de Secunia y una explicación detallada de cómo trabaja el exploit.

Aunque aún no hay un parche oficial, se presume que Mozilla sacará en los próximos días la versión 1.0.4 corrigiendo los agujeros. Pero mientras tanto, aunque en un principio se decía que había que desactivar el Javascript como medida preventiva, leo en Mozillazine que es suficiente con desactivar temporalmente la opción que permite a los sitios web instalar programas.

Para eso habrá que ir a:
Opciones(herramientas) > Preferencias > Características Web y desactivar la casilla “Permitir a los sitios web instalar programas”.

Aunque, según se dice ahí mismo, debido a algunos cambios hechos en MozillaUpdate, tampoco habrá problema si sólo se tienen a los sitios update.mozilla.org y addons.mozilla.org en la lista de permitidos, que es como viene por defecto el Firefox.

Esperemos que las actualizaciones no tarden, pues una de las características señaladas entre las más importantes del open source es justamente la capacidad de reaccionar con rapidez ante el descubrimiento de un bug, sobretodo si implica fuertes riesgos para la seguridad. ¿O no es lo que le reclamamos tanto a Microsoft y su Internet Explorer?.

Otros artículos relacionados

Califica esta nota:

1 estrella

2 estrellas

3 estrellas

4 estrellas

5 estrellas

(No hay votos aún)

Loading ...

Comentarios

1

jpinedo

De todas maneras veo que se recomienda desactivar el JavaScript y en Mozilla Update recomiendan también no dar permisos de instalación a los sitios web, sino que si se quiere instalar una extensión se haga manualmante como medida preventiva.
09.05.2005 - 15:37
2

Brawn78

De todas formas no cambio a Firefox por el asco de I.E. de Moco$oft, sigue siendo muy seguro y lo uso mucho en mi cafe internet, en donde los problemas por instalacion involuntaria de basura y la aparicion de ventanas indeseadas han desaparecido. Es de esperar pronta respuesta por parte de los genios de Mozilla. Todos a FF ¡¡¡ .

Salu2 desde Bogota.
09.05.2005 - 18:00
3

cvander

Muchas gracias por alertarnos de estas vulnerabilidades.

Yo de momento no permito descargar cosas ni de mozilla mismo con Firefox.. just in case
09.05.2005 - 19:39
4

frankieq

De verdad que ya han reaccionado rapido ya que desde que salio firefox tengo mas confianza en navegar en la internet

saludos desde Puerto Rico
09.05.2005 - 20:36
5

maiky

sera interesante ver la rapidez de reaccion de los desarrolladores para corregir el error
09.05.2005 - 21:08
6

santiago campuzano

A pesar de estos pequeños fallos, prefiero usar FireFox que la basura de navegador que ofrece Micro$oft…Gracias
09.05.2005 - 22:03
7

jpinedo

La idea de esta nota no es alarmar a nadie, sino sobretodo informar para que todos los que utilizamos este maravilloso navegador tomemeos las medidas necesarias para no ser afectados.
Porque hay que decirlo, esta es la primera vez que se reporta un agujero de consideración en Firefox.

Pero yo también estoy a la espectativa de la velocidad con que Mozilla pueda reaccionar para corregir estas vulnerabilidades. De eso dependerá la fidelización de sus usuarios y sería un maravilloso precedente para los que aún continúan utilizando en Internet Explorer y no terminan de decidirse por cambiar.
09.05.2005 - 22:45
8

telendro

estas fallas si que son criticas,, yo nunca me fio.
10.05.2005 - 13:15
9

mimos

todo software cuando yega a ser usado por mucha gente, tambien corre el riesgo de que busquen bugs a sus lineas de codigo
11.05.2005 - 18:07
10

jeje

Mira que es difícil encotrar fallos en un chupete . Pues toma fallos cuando crezca el chupete será un petardo
13.05.2005 - 10:58
11

xLinux

Pero aun sigue siendo SUPER MEJOR que el del mocosoft, pues creo que este sistema esta en los mejores y con lo mejores.

Saludos
13.05.2005 - 14:20
12

gilitu

SuperMejor que QUE ? que dices chaval si esto no llega ni a navegador . Es lo mas cutre que he visto nunca
15.05.2005 - 12:31
13

jpinedo

Bueno.. por si acaso, esta noticia quedó obsoleta sólo cuatro días (¿o menos?) después de publicarse.
Firefox ya corrigió sus dos vulnerabilidades en tiempo récord. Lo podemos ver en una nota más actual:
http://www.maestrosdelweb.com/actualidad/2246/

Eso es un buen servicio. Como ya dije en la nota. Ahora me siento mucho más seguro con mi Firefox.
16.05.2005 - 13:47

Los comentarios de esta nota est�n cerrados. Siempre es posible enviar aportes de forma privado en nuestro formulario de contacto.

Sobre el Autor

Más artículos de jpinedo

3,991 Lecturas 13 Comentarios

¿Google (no) fue hackeado? Introducción a XML

Las Notas en tu correo

Destacados

Acerca de

Maestros del Web nace cuando intentamos traducir Webmaster al Español. Nacimos orientados al diseño y desarrollo web. Hoy somos un espacio de apoyo para los entusiastas que participan en proyectos en la red.
Leer más de Maestros del Web

Últimos comentarios

Alejandro Suárez en ¿Se han recuperado tus ingresos después de la Crisis?
Stephanie Falla Aroche en Es Viernes! qué tal si cambias el fondo de tu cuenta de Twitter
alejandro loza en Sistema de noticias: los comentarios
quaquer en Moblin, el linux móvil para Netbooks

Nosotros Preguntas Frecuentes | Créditos | Contacto | Feed RSS

Proyectos Amigo Mensajero | Hostigg | Foros del Web | 120 Segundos

Boletín Suscribirse | Archivo de Boletines

Legal Licencia CC del contenido | Política de privacidad