Maestros del Web

Estás en Inicio / Actualidad

09.05.2005

Dos vulnerabilidades críticas en Firefox 1.0.3

Por jpinedo

Podrían permitir ejecutar código arbitrario sin requerir la interacción del usuario

Según apareció ayer en la web de Secunia, han sido descubiertas dos nuevas vulnerabilidades categorizadas como “Extremadamente críticas” que afectan a Firefox 1.0.3 y versiones anteriores.

La Primera de ellas está relacionada con la inadecuada protección de las URLs con JavaScript en Iframes. La segunda tiene que ver con deficiencias en la verificación del parámetro IconUrl en InstallTrigger.install().
Con una combinación de ambos se podría ejecutar código arbitrario sin autorización explícita del usuario y con ciertos privilegios sobre el sistema.

Se pueden ver los detalles en la web de Secunia y una explicación detallada de cómo trabaja el exploit.

Aunque aún no hay un parche oficial, se presume que Mozilla sacará en los próximos días la versión 1.0.4 corrigiendo los agujeros. Pero mientras tanto, aunque en un principio se decía que había que desactivar el Javascript como medida preventiva, leo en Mozillazine que es suficiente con desactivar temporalmente la opción que permite a los sitios web instalar programas.

Para eso habrá que ir a:
Opciones(herramientas) > Preferencias > Características Web y desactivar la casilla “Permitir a los sitios web instalar programas”.

Aunque, según se dice ahí mismo, debido a algunos cambios hechos en MozillaUpdate, tampoco habrá problema si sólo se tienen a los sitios update.mozilla.org y addons.mozilla.org en la lista de permitidos, que es como viene por defecto el Firefox.

Esperemos que las actualizaciones no tarden, pues una de las características señaladas entre las más importantes del open source es justamente la capacidad de reaccionar con rapidez ante el descubrimiento de un bug, sobretodo si implica fuertes riesgos para la seguridad. ¿O no es lo que le reclamamos tanto a Microsoft y su Internet Explorer?.

Califica esta nota:

1 estrella2 estrellas3 estrellas4 estrellas5 estrellas (No hay votos aún)
Loading ... Loading ...

Si eres nuevo en Maestros del Web y te agradan nuestras publicaciones, te invitamos a suscribirte a nuestro Feed.

Sindícanos en: Google Reader, Bloglines, My Yahoo o My MSN | ¿Qué es el Feed?

Comentarios

13 comentarios en total.

  1. jpinedo 09.05.2005 - 15:37 - #

    De todas maneras veo que se recomienda desactivar el JavaScript y en Mozilla Update recomiendan también no dar permisos de instalación a los sitios web, sino que si se quiere instalar una extensión se haga manualmante como medida preventiva.

  2. Brawn78 09.05.2005 - 18:00 - #

    De todas formas no cambio a Firefox por el asco de I.E. de Moco$oft, sigue siendo muy seguro y lo uso mucho en mi cafe internet, en donde los problemas por instalacion involuntaria de basura y la aparicion de ventanas indeseadas han desaparecido. Es de esperar pronta respuesta por parte de los genios de Mozilla. Todos a FF ¡¡¡ .

    Salu2 desde Bogota.

  3. cvander 09.05.2005 - 19:39 - #

    Muchas gracias por alertarnos de estas vulnerabilidades.

    Yo de momento no permito descargar cosas ni de mozilla mismo con Firefox.. just in case ;)

  4. frankieq 09.05.2005 - 20:36 - #

    De verdad que ya han reaccionado rapido ya que desde que salio firefox tengo mas confianza en navegar en la internet

    saludos desde Puerto Rico

  5. maiky 09.05.2005 - 21:08 - #

    sera interesante ver la rapidez de reaccion de los desarrolladores para corregir el error

  6. santiago campuzano 09.05.2005 - 22:03 - #

    A pesar de estos pequeños fallos, prefiero usar FireFox que la basura de navegador que ofrece Micro$oft…Gracias

  7. jpinedo 09.05.2005 - 22:45 - #

    La idea de esta nota no es alarmar a nadie, sino sobretodo informar para que todos los que utilizamos este maravilloso navegador tomemeos las medidas necesarias para no ser afectados.
    Porque hay que decirlo, esta es la primera vez que se reporta un agujero de consideración en Firefox.

    Pero yo también estoy a la espectativa de la velocidad con que Mozilla pueda reaccionar para corregir estas vulnerabilidades. De eso dependerá la fidelización de sus usuarios y sería un maravilloso precedente para los que aún continúan utilizando en Internet Explorer y no terminan de decidirse por cambiar.

  8. telendro 10.05.2005 - 13:15 - #

    estas fallas si que son criticas,, yo nunca me fio.

  9. mimos 11.05.2005 - 18:07 - #

    todo software cuando yega a ser usado por mucha gente, tambien corre el riesgo de que busquen bugs a sus lineas de codigo

  10. jeje 13.05.2005 - 10:58 - #

    Mira que es difícil encotrar fallos en un chupete . Pues toma fallos cuando crezca el chupete será un petardo

  11. xLinux 13.05.2005 - 14:20 - #

    Pero aun sigue siendo SUPER MEJOR que el del mocosoft, pues creo que este sistema esta en los mejores y con lo mejores.

    ;)

    Saludos

  12. gilitu 15.05.2005 - 12:31 - #

    SuperMejor que QUE ? que dices chaval si esto no llega ni a navegador . Es lo mas cutre que he visto nunca

  13. jpinedo 16.05.2005 - 13:47 - #

    Bueno.. por si acaso, esta noticia quedó obsoleta sólo cuatro días (¿o menos?) después de publicarse.
    Firefox ya corrigió sus dos vulnerabilidades en tiempo récord. Lo podemos ver en una nota más actual:
    http://www.maestrosdelweb.com/actualidad/2246/

    Eso es un buen servicio. Como ya dije en la nota. Ahora me siento mucho más seguro con mi Firefox.

Los comentarios de esta nota están cerrados. Siempre es posible enviar aportes de forma privado en nuestro formulario de contacto.

-

Maestros del Web es el punto de encuentro para los entusiastas de la red.

Creative Commons by-nc-sa 3.0 | Política de Privacidad | CMS: Wordpress