Historias
Slashboxes
Comentarios
 

Vulnerabilidad "0 day" sin parche en Firefox

editada por Yonderboy el 03 de Octubre 2006, 12:21h   Printer-friendly   Email story
desde el dept. nadie-está-a-salvo
XTReX nos cuenta: «Leo en La Flecha que se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la "moda" que atosiga a Microsoft en los últimos meses." Además nos cuentan que a Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación.» La fuente procede de Hispasec, donde están los enlaces a las referencias en inglés. [Actualización: 03/10 19:47 GMT por Y:] Cuentan en slashdot que al final todo podría ser un bulo que extendieron para echarse unas risas. SecurityFocus da por hecho que es un hoax y ha retirado la incidencia.

Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.
  • Delincuentes

    (Puntos:2)
    por Pirx (15304) el Martes, 03 Octubre de 2006, 12:44h (#822265)
    ( http://barrapunto.com/ | Última bitácora: Martes, 12 Mayo de 2009, 19:13h )
    Estos tipos han dicho a las claras que van a vender la información al mejor postor. Presentar la vulnerabilidad no tiene el sentido habitual, sino que más bien parece una forma de anunciarse a los spammers y otros indeseables (se me ocurren unos cuantos) que pudieran estar interesados.

    Por otra parte, si la vulnerabilidad está en el intérprete de JavaScript, no me extraña que sea difícil arreglarla. Firefox está hecho en JavaScript. Aunque existe una capa más baja programada en C++, la interfaz de usuario de Firefox (y SeaMonkey, Thunderbird y demás) está hecha con XUL, cuyo lenguaje de programación de serie es JavaScript.

    No existe separación de privilegios ni "sandbox" real para el JavaScript, según han contado algunos programadores de Mozilla.

    Me pregunto cómo se puede contener una amenaza así mientras se arregla un problema estructural.

  • Ya no hay razón

    (Puntos:1, Divertido)
    por pobrecito hablador el Martes, 03 Octubre de 2006, 12:57h (#822276)
    para usar Internet Explorer, Firefox ha conseguido, después de varios años, ponerse a su altura.

    Y antes de que alguien diga que si Internet Explorer tal o cual; y tú más [secunia.com].
  • Consecuencia del éxito

    (Puntos:2, Inspirado)
    por Kanete (11556) el Martes, 03 Octubre de 2006, 13:13h (#822284)
    ( http://barrapunto.com/ )
    No tenemos que extrañarnos por el hecho, estaba cantado que algún día iba a surgir un fallo de este calibre y que los iba a coger con los pantalones bajados.

    ¿Ésto hace que el programa sea inferior a otro? No. La forma en la que decidan arreglar el problema será lo que demostrará que empresa está más preparada para competir.

    ¿Acaso ahora nos intenterán vender un Firewall por "nuestra" seguridad cuando el fallo realmente está en el navegador?
    • Te equivocas de pobrecito hablador (Puntos:1) Martes, 03 Octubre de 2006, 13:22h
    • 2 respuestas por debajo de tu umbral de lectura actual.
  • No me extraña

    (Puntos:3, Divertido)
    por Perez (21024) el Martes, 03 Octubre de 2006, 15:05h (#822335)
    ...Llamándose "Window" la jefa de seguridad... (je, je)
  • Hispaque?

    (Puntos:2)
    por matajacker (22228) el Martes, 03 Octubre de 2006, 16:04h (#822360)
    ( Última bitácora: Viernes, 26 Enero de 2007, 15:04h )
    parece que se han,revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day.

    Tu si que sabes lo que es un 0day :)
  • Geckos

    (Puntos:2)
    por Mu (11278) el Martes, 03 Octubre de 2006, 16:06h (#822364)
    ( http://www-etsi2.ugr.es/alumnos/mu01/guerraSoftware.html | Última bitácora: Viernes, 03 Diciembre de 2010, 10:41h )
    ¿Afecta esta vulnerabilidades a familia como epiphany y galeon?

    PD: Si algo se dice en el artículo pido perdón de antemano, pero es que no tengo tiempo de leerlo :)
    --
    Gdado dice roller [sourceforge.net]
  • FUD

    (Puntos:3, Informativo)
    por jiXo (26842) el Martes, 03 Octubre de 2006, 16:09h (#822368)
    El equipo de seguridad de Mozilla ha investigado el problema y sólo ha conseguido colgar el navegador: http://developer.mozilla.org/devnews/index.php/200 6/10/02/possible-vulnerability-reported-at-toorcon / Por cierto, los descubridores del bug: http://i.n.com.com/i/ne/p/2006/1.CIMG1795_550x574. jpg
    • Re:FUD de Jomacrar (Puntos:2) Martes, 03 Octubre de 2006, 16:18h
      • Re:FUD de trobete (Puntos:1) Martes, 03 Octubre de 2006, 16:58h
    • Re:FUD de kiusap (Puntos:1) Martes, 03 Octubre de 2006, 18:10h
  • Haber, pueblo.

    (Puntos:2)
    por Tei (4535) el Martes, 03 Octubre de 2006, 17:38h (#822418)
    ( http://barrapunto.com/ | Última bitácora: Jueves, 09 Diciembre de 2010, 21:59h )
    Firefox es tan valido como ha sido siempre. Y por supuesto mucho mas valido que Internet Explorer el cual es un componente de windows, y si te falla el fallo es inmediato en todo windows.

    Navegar con Firefox sigue siendo lo mas inteligente que se puede hacer, porque es mucho mas seguro que otros navegadores (todas las versiones de IE) y mucho mas conveniente que otros mas (W3M, Lynx, Links, el navegador de la wc3, etc).

    Puede haber un problema puntual. Pero eso no quiere decir que este problema te vaya a afectar a ti. Ahora mismo hay CERO paginas web que aprovechen este problema para colgar el navegador con este fallo (colgar el navegador es hasta ahora lo unico reproducible que se ha conseguido).

    En cambio si elegis otro navegador como pudiera ser Opera, perdeis libertad, si utilizais Konqueror dejais de apoyar Firefox con lo que eso conlleva.

    Asi que mantengan la cabeza en su sitio y si hasta ahora les ha funcionado bien Firefox, sigan utilizandolo tranquilos. Y para mas adelante, por favor dejen el histerismo en las salas de peliculas de miedo, joder.
  • Más detalles

    (Puntos:1)
    por MaGaO (6286) <{magao} {at} {bigfoot.com}> el Martes, 03 Octubre de 2006, 18:01h (#822428)
    ( http://barrapunto.com/ | Última bitácora: Lunes, 16 Noviembre de 2009, 23:33h )
    Según se lee en la actualización [mozilla.org] a la nota en Mozilla Developer News [mozilla.org], uno de los ponentes afirma que no ha logrado provocar más que cuelgues del proceso (por falta de memoria).

    Igualmente, indica que no tiene 30 vulnerabilidades no publicadas, ni dijo tal cosa. Al parecer, fue el otro ponente quien hizo dicha afirmación.

    --
    Marcos (cualquier parecido con la coincidencia es pura realidad)
  • NoScript

    (Puntos:1)
    por slayer (16244) el Martes, 03 Octubre de 2006, 19:25h (#822485)
    Yo ya hace algún tiempo instalé la extensión de NoScript que hace que no funcione el javascript en las páginas. A lo mejor es un poco paranoico.

    He llegado a la conclusión de que no hay tantas páginas que necesiten javascript para verse correctamente: bancos, las aplicaciones de Google (normal ya que no son páginas web propiamente dicho) y no muchas más. Lo que sí me he encontrado es con unas cuantas que lo usan mal puesto que podrían usar enlaces.

    De esta forma evito esta vulnerabilidad ... y seguro que otras cuantas.
  • FOTOS

    (Puntos:2)
    --
    Pué fueno, pué fale, pué m'alegro.
    Maquinavaja.
  • por Hamal Dragon (18620) el Martes, 03 Octubre de 2006, 13:24h (#822290)
    ( http://barrapunto.com/ | Última bitácora: Lunes, 19 Febrero de 2007, 11:40h )
    Es que si encuentras un error, lo suyo es informar a los principales interesados, que son los programadores, para que lo solucionen cuanto antes, y no soltarlo en plan sensacionalista, exponiendo el error a que sea explotado.
    --

    *Patrocinado por HippieFrigoFrutia, la bebida que preparan los hippies y distribuye una despiadada multinacional*

    [ Padre ]
  • por opqa (12123) el Martes, 03 Octubre de 2006, 15:53h (#822354)
    Las buenas prácticas son avisar a los desarrolladores primero y dejarles por lo menos algún día de cortesía para que tengan tiempo de plantearse la mejor manera de afrontar el problema. Y sí, aunque parezca mentira hay gente que colabora con MS informándoles de bugs de forma desinteresada. Concretamente hace algúnos añitos recuerdo el caso de un español que había reportado un buen número de fallos en el IE, y la empresa le tenía en consideración cada vez que informaba (probablemente también reciben muchos informes falsos o bien por ignorancia o bien sólo por joder).

    Esta gente por lo visto no sólo no ha informado previamente sino que también ha dicho que hay más fallos de ese calibre, pero sin darlos a conocer. Con lo que, como sugieren por ahí arriba, probablemente lo que quieren es pasta a cambio de información privilegiada sobre los fallos no publicados.
    [ Padre ]
  • Si eres realmente paranoico, siempre puedes utilizar una distro live preconfigurada cada vez que necesites acceder al banco o a alguna página específica. Pero vamos, eso es alcanzar el summum de la seguridad y esta reservado a gente muy paranoica.

    Huy, que idea: Paranoix, la nueva distro LiveCD para acceder a tu banco ;-)

    -
    --

    -- Wayfarer
    La Bitácora del Caminante - www.thewayfarer.info [thewayfarer.info]

    [ Padre ]
  • Re:Puto Firefox

    (Puntos:2)
    Filosofía del taliban del SL:
    • "Firefox lo utiliza mucha gente" ergo "Firefox es una mierda"
    • "OpenOffice lo utiliza mucha gente" luego "OpenOffice es una mierda"
    • "Ubuntu lo utiliza mucha gente" ergo "Ubuntu es una mierda"
    Quizás no os gusta que lo utilize mucha gente porque así es cómo se descubren los bugs.
    --
    skuark [skuark.com]
    [ Padre ]
  • por kolme (18991) el Martes, 03 Octubre de 2006, 16:52h (#822396)
    ( file:///devnull | Última bitácora: Viernes, 22 Diciembre de 2006, 14:23h )
    Otra alternativa es utilizar Konqueror, y los realmente paranoicos pueden usar Dillo o Lynx en una jaula chroot bajo qemu :P
    --
    Cargando...
    [ Padre ]
  • chroot

    (Puntos:2)
    por chavi (9251) el Martes, 03 Octubre de 2006, 22:40h (#822575)
    ( http://web.iesrodeira.com | Última bitácora: Sábado, 25 Abril de 2009, 19:50h )
    ¿alguien sabe cómo ejecutar Firefox en un entorno chroot?

    Yo lo hago. Soy el 'desafortunado' usuario de un amd64 que para tener el puto flash funcionando hago funcionar a firefox en un chroot de 32 bits....

    No tienes más que ver los HOWTO para amd64...

    --
    Xavi.
    [ Padre ]
  • 15 respuestas por debajo de tu umbral de lectura actual.