298 meneos

Grave vulneralibilidad de Mozilla Firefox 2.0.0.11

www.visualbeta.es/2844/navegadores/grave-vulneralibilidad... 
por Nabuko el 03-01-2008 19:21 UTC publicado el 03-01-2008 22:45 UTC

Un mes después de que Mozilla lanzase la versión 2.0.0.11 de su navegador Firefox para solucionar un problema de seguridad urgente, un especialista en seguridad israelí llamado Aviv Raff ha descrito un vulnerabilidad con dicha versión del navegador en el método usado por Firefox para mostrar los diálogos de autentificación que pueden aprovechar los hackers para obtener información sobre los usuarios y las contraseñas.http://www.youtube.com/watch?v=NaCPw1s3GFw

etiquetas: firefox, bug, vulnerabilidad
negativos: 0   usuarios: 194   anónimos: 104  
compartir:  twitter  facebook  tuenti  
40 comentarios tecnología, seguridad karma: 873
  1. #1   Bueno, esperemos que la capacidad de reacción sea rápida y tengamos una revisión pronto.
    7  votos: 1   link
    el 03-01-2008 19:30 UTC por Ladamanto Ladamanto
  2. #2   Llámales crackers, ladrones o incluso piratas informáticos, pero los hackers son los buenos (como los que hacen menéame :-P)
    96  votos: 12   link
    el 03-01-2008 19:31 UTC por cylmor cylmor
  4. #4   Solución: usar Firefox y no la mierda del Mierda$$$oft Exploiter asqueroso.

    ¿Eso es lo que siempre se dice en estos casos, no? ¿Lo he hecho bien?
    -33  votos: 30   link
    el 03-01-2008 19:33 UTC por Hass Hass
  5. #5   Solución: Usar Opera.
    5  votos: 16   link
    el 03-01-2008 19:37 UTC por --51021-- --51021--
  6. #6   #5 No, que es privativo :-P

    Mejor el NoScript :-)
    153  votos: 23   link
    el 03-01-2008 19:39 UTC por cylmor cylmor
  7. #7   #4 lo que pasa es que los errores del Internet Explorer ya no se ponen porque no son noticia, no es algo raro, en cambio si los de firefox.
    37  votos: 9   link
    el 03-01-2008 20:39 UTC por furby furby
  8. #8   #4 #5 y #6 No, mejor no usar Internet. Espera... que te puede venir un virus en un cd, entonces mejor no usar los ordenadores... :-)

    Es de tontos pensar que algo es infalible por eso hay que dejar de ser tan talibanes y empezar a judgar el programa que te gusta, pese a que te guste, juzgando y siendo crítico uno está mejor preparado para lo que pueda venir.

    Esto para que luego vaya alguno diciendo que firefox es el mas mejor y que con el estás super seguro. Y con linux igual que también tiene fallos....

    De todas formas firefox es un buen navegador, yo lo recomiendo ante el IE.
    46  votos: 9   link
    el 03-01-2008 20:41 UTC por kadmon kadmon
  9. #9   Ya se dijo y se repitió en su momento. Usar el argumento de la seguridad para promoverlo era un error.

    Pero los hay que no quieren escuchar.
    49  votos: 8   link
    el 03-01-2008 20:59 UTC por sorrillo sorrillo
  11. #11   #10 ¿Dónde está el código fuente, entonces?

    Opera es gratuito, pero eso no quita que sea privativo.

    #9 Yo no creo que sea un error usar el argumento de la seguridad. Es más seguro que el Explorer, lo que no quita que pueda tener errores y vulnerabilidades varias.
    130  votos: 14   link
    el 03-01-2008 22:16 UTC por cylmor cylmor
  12. #12   Parecéis crios xD
    32  votos: 3   link
    el 03-01-2008 22:51 UTC por borre borre
  13. #13   Opera 0wns.Y encima no te chupa ni un tercio de la ram que se mama el tragasables firefox.
    7  votos: 2   link
    el 03-01-2008 22:57 UTC por ectolin ectolin
  14. #14   #12 o políticos xD
    27  votos: 2   link
    el 03-01-2008 22:58 UTC por jiji jiji
  15. #15   Está claro que las ideologías están presentes en todos los ámbitos.

    Pues yo personalmente uso firefox sólo por llevarle la contraria a Micro$oft, es mi manía personal.
    6  votos: 0   link
    el 03-01-2008 22:59 UTC por --21152-- --21152--
  16. #16   Vulnerabilidad de Phising. Con un poco de sentido común en el nivel 8 del modelo OSI se evitan
    43  votos: 4   link
    el 03-01-2008 23:00 UTC por angelitoMagno angelitoMagno
  19. #19   #18 Pero el script que ejecutas está en la página atacante, no en la que te redirecciona (en este caso Google)

    Creo xD
    9  votos: 0   link
    el 03-01-2008 23:49 UTC por cylmor cylmor
  20. #20   #18, yo no he programado el NoScript, por lo que no lo se a ciencia cierta, pero si realmente bloquea el script de las páginas no autorizadas, en este caso funcionaría la protección, porque el código del script has sido generado por la página del atacante, no por la página que usuario está viendo.

    Serà una vulnerabilidad grave, pero la solución es bien sencilla. El fallo se basa en que el tio en la cadena de REALM (es decir, como dice que se llama la página en la que nos estamos identificando) pone lo de "Google Checkout Verysign certified..."

    Solo hay que modificar el diseño del popup de id/password para que mostrara más información. Ejemplo rápido:
    Solicitud de credenciales
    Desde www.soyunhacker.com/
    REALM: Google Checkout Verysign certified...
    *Introduzca sus datos*
    15  votos: 1   link
    el 03-01-2008 23:57 UTC por --14336-- --14336--
  21. #21   casi que ni el REALM es necesario, por ser completamente arbitrario
    6  votos: 0   link
    el 03-01-2008 23:59 UTC por --14336-- --14336--
  22. #22   NoScript está desde siempre con mi Firefox.
    20  votos: 1   link
    el 04-01-2008 00:00 UTC por rafaelbolso rafaelbolso
  23. #23   Lo bueno es que siendo firefox el fallo se arreglará muy pronto, si el fallo fuera de IE tardaría meses en arreglarse...
    14  votos: 4   link
    el 04-01-2008 00:02 UTC por jfabaf jfabaf
  24. #24   Me pregunto si está afectada la versión 3 beta 2...

    De todas formas, nunca navego sin mi NoScript
    18  votos: 1   link
    el 04-01-2008 00:12 UTC por --8552-- --8552--
  25. #25   Es acaso mejor el Firefox porque puedes ver el código fuente? #11 ¿qué tiene que ver una cosa con la otra? las características y los "bugs" es lo que hacen a un navegador mejor o peor que otro, y no si el código fuente es abierto o no... ambos son "de libre y gratuito uso".

    Yo sigo diciendo que lo mejor es Opera (lo uso en Windows, Linux, Móvil Symbian y Wii), y como dijo #10, mucha gente quiere "aparentar de que son muy guays" porque son "Anti-Microsoft" usando el Firefox, y como eso duele... pues atormentan a comentarios y acusan con negativos a los que no piensan como ellos.

    Cada vez que sale una versión nueva de Firefox, a las 2 semanas se descubre una "grave vulnerabilidad de seguridad"... Cuando se ha visto eso en Opera? por ejemplo.
    -35  votos: 12   link
    el 04-01-2008 00:25 UTC por TonyCool TonyCool
  26. #26   #23 de los mas bajo compararse con ie, aparte, firefox al ser libre debería ser comparado con navegadores libres, aunque ahí quedaría bastante mal parado en el tema de seguridad al menos(y en otros tantos mas...)
    8  votos: 0   link
    el 04-01-2008 00:28 UTC por punkesito punkesito
  27. #27   #25 Nada más salir Opera 9, a la hora ya habían descubierto una vulnerabilidad crítica... y no se descubren muchas más como comentas porque es código cerrado y no se puede mirar las líneas para encontrar nuevos bugs (y las que acallarán la compañía y nunca se dan a conocer por intereses económicos)
    41  votos: 5   link
    el 04-01-2008 01:02 UTC por --8552-- --8552--
  28. #28   Opera...
    14  votos: 1   link
    el 04-01-2008 01:15 UTC por Alcyone Alcyone
  29. #29   #27 De todas formas, y continúo, eso no quita que Opera sea otra excelente alternativa... de hecho, lo tengo instalado junto al Firefox 3 Beta 2
    30  votos: 2   link
    el 04-01-2008 01:36 UTC por --8552-- --8552--
  30. #30   #27 vos te piensas que hay gente que lee código y descubre bugs???, bueno te digo que no es así, ojala fuera así, pero no la programacion es algo un poquito mas complicado, no es tan facil como: "es libre miro el código un rato y ya veo los bugs"(a menos que seas neo), o "a mira es libre voy a hacer un par de modificaciones". esto no quiere decir que ser libre no tengas sus ventajas, pero precisamente buscar bugs leyendo código no es una de ellas.
    -35  votos: 5   link
    el 04-01-2008 01:50 UTC por punkesito punkesito
  31. #31   Secundo a #25 totalmente, pese a que por el mero hecho de alabar a Opera obtenga votos negativos de esos talibanes antimicrosoft que apoyan a firefox como si fueran comerciales pagados...
    </flame>

    Tengo instalados 4 navegadores en windows y 3 en debian, sigo usando opera porque va más rapido y punto. Al que le joda que usando menos ram vaya más rapido, que se joda, pero que no critique que porque algo sea privativo no se pueda usar, a ver si ahora resulta que esa gente no tendrá algun software de código cerrado instalado, o que nunca lo usan...

    Tiene cojones la hipocresía que hay a veces.
    9  votos: 2   link
    el 04-01-2008 02:12 UTC por rafamerino rafamerino
  32. #32   Esto... el NoScript no sirve para nada contra este "exploit" (cuyo descubrimiento tampoco es la rehostia). Se trata del sistema de autentificación de HTTP y una disposición de información poco acertada por parte de Firefox, no de un Javascript malicioso que presente un popup de tipo antes desconocido. No se suele usar mucho porque no es más seguro que un formulario de toda la vida y queda bastante feo. Pero es una solución fácil y rápida para el programador que mostrará un bonito error 403 si falla. El script son dos líneas muy sencillas en PHP o cualquier otro lenguaje CGI que sepa de toquetear cabeceras.

    Creo recordar que hace unos años también hubo algo parecido relacionado con el desbordamiento de línea que permitía ocultar la procedencia de la petición de credenciales.
    16  votos: 1   link
    el 04-01-2008 03:29 UTC por Rager Rager
  33. #33   que malo malo es Explorer! siempre igual con sus bugs!!! igualito que,,, <ironia off>
    -16  votos: 3   link
    el 04-01-2008 06:21 UTC por UnSleep UnSleep
  34. #34   Ojala lo arreglen pronto. Firefox es superior a explorer
    -2  votos: 1   link
    el 04-01-2008 06:56 UTC por BenjaminFlores BenjaminFlores
  35. #35   Espero que se solucione pronto, pero los últimos fallos graves se tardó bastante. El problema es que son graves pero no críticos (¿algún sitio realmente importante usa este tipo de autenticación? Desde luego google check out no.
    16  votos: 1   link
    el 04-01-2008 07:34 UTC por kNo kNo
  36. #36   #30 Tu sabes la cnatidad de gente con tiempo libre hay en internet???? Porque la cantidad de chorradas que te encuentras...debe ser debido a que hay mucho tiempo libre. Y sabes tu la cantidad de geeks que la pueblan? ... asi a ojo unos cuantos millones... y como hay gente para todo, seguro que unos cuantos miles se dedican a estudiar precisamente , cualquier programa linea a linea...porque asi se sienten felices y porque asi pueden "tirarse el pisto" en los foros cuando descubren algun fallo.

    A lo mejor lo que para ti es dificil...otros lo ven a simple vista

    Saludos
    21  votos: 3   link
    el 04-01-2008 07:39 UTC por Wendigo Wendigo
  37. #37   #25 ¿Tú valoras tener el código fuente a mano? ¿Que cualquiera pueda revisarlo e informar de errores o fallos de diseño? ¿Poder ver por tí mismo qué es lo que hace? ¿Poder compilar el programa con pequeños cambios hechos por tí que mejoran tu experiencia de uso del programa? ¿Poder exponer en foros cambios y mejoras a los programas que usas? y hay más razones por las que usar cualquier soft libre...

    Yo sí valoro todo esto, y por eso creo que Firefox es mejor que cualquier otro navegador, y el soft libre es la mejor forma de hacer soft generalista, ya que fallos tienen todos los programas y creo que el modelo de desarrollo libre hace que cualquier programa sea más seguro y se amolde mejor a las necesidades de los usuarios porque hay mucha más gente probando el soft y tratando de explotar fallos y aunque no estén corregidos todos los fallos la información sobre la solución de errores es más transparente y yo tengo capacidad para entender esa información y actuar en consecuencia.

    Si tú no valoras lo anteriormente expuesto entonces te valdrá cualquier soft, libre o cerrado. Todo lo demás son diatribas sin sentido. Que cada uno elija lo que quiera pero razonandolo.
    6  votos: 0   link
    el 04-01-2008 08:56 UTC por musg0 musg0
  39. #39   #36 Me lo has quitado de la boca :-)

    Hay gente que no entiende todavía el sentido del software libre
    1  votos: 1   link
    el 04-01-2008 16:16 UTC por --8552-- --8552--
  40. #40   Me parece increible que se trate esto como "grave vulnerabilidad" cuando no lo es, es simplemente un fallo de diseño, aclaración:

    www.mozilla-hispano.org/foro/viewtopic.php?p=1589#p1589
    8  votos: 0   link
    el 04-01-2008 19:03 UTC por Nukeador Nukeador
comentarios cerrados

menéame