Eli
340meneos

Primera vulnerabilidad en Firefox 3.0

www.kriptopolis.org/comment/reply/6138 
por txalin el 19-06-2008 09:16 UTC, publicado el 20-06-2008 04:55 UTC

Vía Kriptópolis: TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución. Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso. Más info aquí (en inglés): dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firef0

 51 comentarios en: tecnología, seguridad karma: 476
etiquetas: firefox 3, zero day, vulnerabilidad, seguridad
negativos: 6  usuarios: 187  anónimos: 153  compartir:  twitter  facebook  friendfeed
últimas relacionadas
  1. #1   ¿Seguro que el enlace que nos has puesto no es el enlace malicioso?

    Ante la duda voto negativo tu noticia: Voto paraonoico. XDD
    votos: 22, karma: 185
    por Juanal (#) el 19-06-2008 09:18 UTC
  2. #2   Jur... Un buen owned.

    ¿Lo bueno? Que ya estará arreglado gracias a la comunidad :-)
    votos: 3, karma: 30
    por hiuston (#) el 19-06-2008 09:18 UTC
  3. #3   #1 Buena observacion, si señor, pero no, es kriptopolis xD
    votos: 1, karma: 14
    por txalin (#) el 19-06-2008 09:19 UTC
  4. #4   El enlace malicioso es este:
    internet-explorer-7.softonic.com/
    votos: 19, karma: 109
    por jaspe (#) el 19-06-2008 09:30 UTC
  5. #5   » ver comentario
    por --72350-- (#) el 19-06-2008 09:34 UTC
  6. #6   » ver comentario
    por --68676-- (#) el 19-06-2008 09:56 UTC
  7. #7   Me parece mucha casualidad que justo después del lanzamiento se encuentre una vulnerabilidad; yo diría que es un intento de dañar la imagen de Firefox demostrando que es inseguro o bien una manera de hacerse publicidad...
    votos: 7, karma: 47
    por Africanus (#) el 19-06-2008 10:38 UTC
  8. #8   #8 ¿¿?? Conoces por un casual a la gente que lo ha descubierto? Publicidad no les hace falta, y no dañan la imagne ya que no han publicado el exploit, solo es un toque de atgencion :)
    votos: 0, karma: 7
    por txalin (#) el 19-06-2008 11:24 UTC
  9. #9   » ver comentario
    por --761-- (#) el 19-06-2008 12:16 UTC
  10. #10   #8 En su blog afirman que reciben el aviso de alguien que prefiere seguir en el anonimato cinco horas después de la salida de Firefox y que no saben por qué no encontró antes la vulnerabilidad si también estaba en Firefox 2. Simplemente me parece una coincidencia remarcable a la que doy dos posibles motivos. Otro motivo podría ser perfectamente la pura casualidad.

    Desconozco si necesitan publicidad, pero creo que coincidirás conmigo en que un error crítico en un producto recién lanzado a nivel mundial es perjudicial para su imagen aunque no haya exploit. No les culpo por publicarlo porque es lo que tienen que hacer, pero eso, que me parece curioso.
    votos: 3, karma: 31
    por Africanus (#) el 19-06-2008 12:46 UTC
  11. #11   Acabo de instalarlo
    votos: 0, karma: 6
    por jhhon (#) el 19-06-2008 15:52 UTC
  12. #12   O sea... que como cada persona se haya instalado el Firefox 3.0, tenemos 8 millones de usuarios comprometidos...
    votos: 1, karma: 17
    por sam2001 (#) el 19-06-2008 18:53 UTC
  13. #13   Yo siempre recomiendo Firefox a todos mis amigos, siempre les digo que se lo pongan porque es mucho mas seguro que el Internet Explorer, que esta lleno de agujeros.
    Internet, 22 de Marzo de 2006

    No es mas seguro por ser menos popular, simplemente esta mas bien hecho.
    Internet, 22 de Marzo de 2006 (30 minutos mas tarde en la discusión en curso)
    votos: 1, karma: 16
    por sorrillo (#) el 19-06-2008 20:10 UTC
  14. #14   Realmente el Download Day era una conspiración para que Mozilla tuviese controlado a 8 millones de personas que descargaron su software y asi poder entrar a nuestro ordenador y apropiarse de nuestro dinero uuuooohhhh uohhhhhhh quitaré el cable de red para que no se vayan los billetes !!
    votos: 1, karma: 14
    por yello (#) el 19-06-2008 21:37 UTC
  15. #15   » ver comentario
    por --14256-- (#) el 19-06-2008 21:59 UTC
  16. #16   #15 La extensión que siempre termino dejando de usar, demasiado pesada y a menos que vayas a pasar por un campo de minas (warez, porn, etc.) no merece la pena...
    votos: 3, karma: 28
    por Mpmx (#) el 19-06-2008 23:37 UTC
  17. #17   #16 a mi lo del campo de minas, como que me da bastante igual... a mi S.O. no le afectan...
    votos: 3, karma: 16
    por icegreen (#) el 19-06-2008 23:56 UTC
  18. #18   ¿Dónde está el enlace malicioso? No lo encuentro
    votos: 1, karma: 14
    por Toranks (#) el 20-06-2008 00:08 UTC
  19. #19   » ver comentario
    por --10140-- (#) el 20-06-2008 06:01 UTC
  20. #20   #10 Umh... eso no lo habia leido (envie el enlace desde el curro :-D), en ese caso, si que resulta pelin sospechoso... :)
    votos: 0, karma: 8
    por txalin (#) el 20-06-2008 06:20 UTC
  21. #21   pues a mi esto me suena a que encontraron la vulnerabilidad en la 2.0 y y resulta q tambien sucede en la 3.0 y no al reves... En fin... nadie prometio que F3.0 fuese a ser perfecto no?
    votos: 0, karma: 6
    por eldios13 (#) el 20-06-2008 06:28 UTC
  22. #22   » ver comentario
    por --66261-- (#) el 20-06-2008 06:35 UTC
  23. #23   » ver comentario
    por --46333-- (#) el 20-06-2008 06:35 UTC
  24. #24   #19 no es mas seguro porque es soft libre, pero si que se ha descubierto seguramente mucho antes que si fuera soft privativo, y se solucionara en 1 o 2 dias seguramente
    votos: 1, karma: -1
    por cesy (#) el 20-06-2008 06:45 UTC
  25. #25   Algunos sois muy benevolentes cuando sabeis perfectamente que echariais pestes si fuera otro explorador.
    votos: 5, karma: 43
    por Sagrath (#) el 20-06-2008 06:47 UTC
  26. #26   » ver comentario
    por --66261-- (#) el 20-06-2008 06:48 UTC
  27. #27   Cuando hablamos de software quien usa la seguridad como arma arrojadiza es muy probable que se hiera a si mismo.
    votos: 0, karma: 8
    por sorrillo (#) el 20-06-2008 07:10 UTC
  28. #28   juaaaaaassssss!!! para que digais que los bugs son cosa de microsoft
    votos: 7, karma: -27
    por piquet (#) el 20-06-2008 07:18 UTC
  29. #29   "aunque para ello se requiere que el usuario haga clic en un enlace malicioso"

    Si el fallo de seguridad fuera en IE, esa frase seria:

    "basta con que tan solo el usuario haga clic en un enlace malicioso"

    Uso Firefox, pero no se por que la gente lo defiende con uñas y dientes.
    votos: 2, karma: 20
    por LiRiCO (#) el 20-06-2008 08:16 UTC
  30. #30   #28 Decir eso es desconocer completamente la informática.

    Bugs hay en todas partes. Esperemos a ver en cuanto tiempo lo solucionan y entonces hablamos...
    votos: 2, karma: 26
    por zurt (#) el 20-06-2008 08:18 UTC
  31. #31   #28 La diferencia es que con Firefox a las pocas horas el bug esta resuelto...si fuera un bug del Explorer a las "pocas semanas" estaría resulto.
    votos: 3, karma: 16
    por damian (#) el 20-06-2008 08:21 UTC
  32. #32   #30 Amén. Es de cajón, cuantos más usuarios tenga un producto, y cuanto más nuevo sea, más bugs se encontrarán estadísticamente, sea Firefox, Internet Explorer, o sea Cheli sacando whiskey para el personal. Otra cosa claro, es como de rápido se resuelvan esos bugs.

    Es una máxima de la seguridad informática: usar cosas probadas y establecidas, y migrar siempre los sistemas con cuidado.
    votos: 2, karma: 25
    por bruno (#) el 20-06-2008 08:22 UTC
  33. #33   » ver comentario
    por --66261-- (#) el 20-06-2008 09:00 UTC
  34. #34   #33 No es lo mismo una vulnerabilidad en el propio Firefox que en una de sus extensiones, no tienen el mismo equipo por detrás.

    Por lo menos no calificaron el bug de "feature"
    votos: 0, karma: 8
    por zurt (#) el 20-06-2008 09:18 UTC
  35. #35   #10 Paranoia, paranoia, SUPERPARANOIA!!!
    P.D.: Me voy a auto-otorgar el premio friki de hoy. Porque yo lo valgo XD.
    votos: 0, karma: 6
    por kamandula (#) el 20-06-2008 09:19 UTC
  36. #36   Harán el Parche-Day??
    votos: 2, karma: 20
    por condemor (#) el 20-06-2008 09:40 UTC
  37. #37   #1 Espero que sea un chiste

    #2 ¿Un mes después como las cuatro o cinco vulnerabilidades anteriores en el .13 .12 .11....?

    #4 Valiente "chiste" en una noticia como esta como se nota quien es fanboy por aquí...

    #7 Por supuesto, el sagrado zorro no puede tener imperfección alguna, siempre culpa de los demás. Amén de lo que dice #8

    #10 Sea como fuere el fallo está ahí.

    #15 Las estadísticas demuestran que el 99.9% de los conductores nunca han tenido ningún accidente con el coche en el garaje y el motor apagado. Los scripts son perfectamente válidos, no hay porque bloquearlos para ver una medio web, lo que hay que hacer es un producto no vulnerable.

    #24 y #31 ¿recordamos las últimas vulnerabilidades de firefox en sus versiones .13, .12 y .11 y el tiempo de respuesta que fue de... UN MES?

    En fin, firefox es un buen navegador, es el que uso pero no por ello estoy ciego para no ver cuando meten la pata.

    P.D: #36 XD espero que no se saturen los servidores
    votos: 2, karma: 23
    por kadmon (#) el 20-06-2008 09:44 UTC
  38. #38   Se me olvidaba #9 : joer... es que es tan tan difícil hacer clic en los enlaces de una web que ¿quien va a hacer clic en un enlace, quien hace clics en los enlaces de las webs?, tan solo los kamikazes.

    Pf, vaya tontería acabas de decir.

    P.D: ¿y esos enlaces estarán señalados con letreros super mega grades del estilo "DANGER" "PELIGRO", "¡¡¡FISTRO PECADORRRR, NO TOCARRR!!!" o serán, como es lógico, como todos los enlaces?
    votos: 0, karma: 8
    por kadmon (#) el 20-06-2008 09:51 UTC
  39. #39   Completamente de acuerdo con #37, solo que yo uso IE7, y la única razón por la que no me gustan los usuarios de Firefox es porque están ciegos... A ver si se hace un poquito más popular, y ya veréis como el número de errores críticos en Firefox irá superando al de IE, pero no por eso saldrán noticias de "IE es más seguro que FF"
    votos: 5, karma: 12
    por test (#) el 20-06-2008 10:17 UTC
  40. #40   #39 "A ver si se hace un poquito más popular"
    Amen!
    votos: 0, karma: 8
    por zurt (#) el 20-06-2008 10:31 UTC
  41. #41   #33 El problema es que en el caso de Microsoft las Semanas de Espera son lo normal...no algo casual. De todas formas en la página de Addons de Mozilla te dejan bien claro que los addons que no estén firmados no son responsabilidad suya. (como es logico)

    ¿Por cierto me puedes enviar algo más de información sobre esa vulnerabilidad de la que hablas?

    Un saludo.
    votos: 1, karma: 0
    por damian (#) el 20-06-2008 11:35 UTC
  42. #42   Perdón, no se ha dicho qué es lo vulnerable, ni tampoco se muestran pruebas. Eso para mí es lo mismo que nada. Además, hace años que, veo siempre las mimas pelotudeces de "vulnerabilidades" que para reproducirlas hay que montar unos pollos bestiales. Entre IE y Firefox no hay comparación. IE es un software de juguete, demasiado inestable y que sí complica la seguridad personal de cualquiera sólo navegando páginas.

    Es una cuestión de instalar un Windows, y navegar una hora con el dichoso navegador y os daréis cuenta de la cantidad de basura que tendrá el ordenador en un mes instalado.
    votos: 0, karma: 6
    por mini-d (#) el 20-06-2008 11:37 UTC
  43. #43   » ver comentario
    por --66261-- (#) el 20-06-2008 11:41 UTC
  44. #44   #43 , #41 se entera de lo que quiere, lo demás parece desecharlo. Lo de "resuelto en unos días" hace siglos que no se ve.

    #42 ¿Prefieres que lo publiquen para que cualquiera pueda explotarlo antes de que esté arreglado?, ya se han dado los motivos por los que no se dan más detalles, a mi me parece lógico. No creo que Mozilla se ponga a investigar algo que es mentira.

    ¿cargar una página, clicar en un enlace es "montar un pollo de la hostia"?, te recomiendo que des unas vueltas por aquí, no te pasará nada pero es divertido (absténganse cualquier otra persona que no sea #42):
    lcamtuf.coredump.cx/ffoxdie_orig.html
    lcamtuf.coredump.cx/ffoxdie2.html
    lcamtuf.coredump.cx/ffoxdie3.html

    Lo increíble es que dos versiones después esto todavía no esté solucionado.

    Lo que dices del IE ya no tiene nombre, a parte de ser algo totalmente subjetivo. No te diré yo porque suelo tener cuidado pero mi hermano que el otro día me dijo que pensaba que todas las webs estaban guardadas (alojadas) en Google usa IE desde hace 4 meses, hoy su ordenador e IE andan como un reloj.

    P.D: yo sigo prefiriendo Firefox pero cada cosa en su sitio.
    votos: 2, karma: 24
    por kadmon (#) el 20-06-2008 11:55 UTC
  45. #45   #25: Yo creo que es porque la principal diferencia (además de otras que leído) es que Firefox es libre, y como todo software de este tipo, "es nuestro" (nótese el entrecomillado). Además, Microsoft trata de ocultar sus bugs o desmentirlos aún siendo ciertos. ¿Ves ahora la diferencia?

    ¿Sabe alguien realmente qué está haciendo Internet Explorer, Opera, o cualquier otro software no libre, además de "lo que se ve"?. No, ni puede saberse. ¿Quién te dice que, por poner un ejemplo, no puedan estar recopilando tu información?

    El programador que haya creado un software libre de bugs, que tire la primera piedra.
    votos: 1, karma: -2
    por anonymous_at_anonymous (#) el 20-06-2008 13:20 UTC
  46. #46   #45 Si si... ¿y si la luna estuviese hecha de queso? //El núcleo.

    ¿sabes tu lo que está haciendo FF?, //No, pero me dirás "yo no pero otros pueden ver el código".

    ¿sabes lo que es un Snifer o, mas simple, un cortafuegos? ¿acaso no hay programas para analizar el tráfico y monitorizar lo que hace una aplicación?. Así que o estos programas "privativos" realizan conexiones cifradas para enviar "esos datos" o Sí se puede saber lo que envían o dejan de enviar. Y si la conexión está cifrada sabes que existe una conexión cifrada que no debería de estar ahí.

    Decimos lo mismo de siempre aunque sea mentira, todo por la patria.

    Lo de "es nuestro" suena a hinchas de un equipo de fútbol donde la objetividad brilla por su ausencia, es libre así que no importa lo que haga porque todo está bien.
    votos: 1, karma: 16
    por kadmon (#) el 20-06-2008 14:53 UTC
  47. #47   No script + Adblock plus...
    votos: 0, karma: 6
    por botwalk (#) el 20-06-2008 15:49 UTC
  48. #48   #46: Me esperaba una respuesta así. Sí, sé lo que es un sniffer y un cortafuegos y los he utilizado, por lo que también sé que hay forma de evitarlos.
    Y sí, otros lo pueden leer, o en el caso de que una empresa lo necesitase podría pagar a alguien para que lo viera, o incluso podría pagar a un programador para implementar X funciones que necesite en el navegador. Esta es una de las razones por las que que dije "es nuestro". No tiene nada que ver con lo de "todo por la patria". Es más, no se trata de ningún fanatismo ya que yo prefiero Konqueror a Firefox (consume menos y por supuesto está bien integrado con KDE), sólo que en algunas ocasiones necesito el segundo.

    Increíble la poca importancia que le das al software libre.
    Gracias por voto tu negativo anterior (y el que venga).

    Como verás lo único que he tratado de explicar es por qué Firefox tiene un trato diferente a los otros navegadores. Para unos será mejor, para otros peor. Pero por lo que explicado en #45 y aquí, es por lo que se responde menos negativamente a sus bugs.

    Y ahora vas y me vuelves a votar negativo por expresar mi opinión y no ofender a nadie. Gracias por tu voto.
    votos: 0, karma: 6
    por anonymous_at_anonymous (#) el 20-06-2008 19:32 UTC
  49. #49   #48 Vale, empezaré a responderte por el final: De nada por mi voto que no te di, si quieres te voto negativo en los dos comentarios que todavía estoy a tiempo, tan solo por el suponer... así tus gracias no serían en vano ¿quieres?, porque en esta noticia todavía no voté a nadie negativo. Menos suponer...

    Bien, aclarado lo del negativo vengámonos al mundo real: Habrá formas de evitar un cortafuegos o un sniffer pero la probabilidad de que eso ocurra de verdad en un navegador "privativo" tiende a cero, por no decir nula. Puestos a ser paranoicos desconfiemos de los routers pues en su firmware puede haber "algo" que envíe todas nuestras contraseñas a los malotes de los fabricantes.

    Ya en plan didáctico y con ganas de aprender, en serio, no va con segundas, dime como evitar por ejemplo que se analice el tráfico que sale de tu ordenador si este pasa por otro ordenador que hace de proxy por lo que todos los datos pasan por ese segundo ordenador el cual no está comprometido. No vale el cifrado porque veríamos una conexión cifrada.

    Que una empresa pague para que alguien revise las miles de líneas de código que tendrá FF3 es subrealista, quien necesite tanta seguridad seguramente usará otro programa y no firefox. Además, después de pagar por ello ¿tú crees que nos dirán a nosotros lo que hayan descubiertos?, lo dudo, así que ¿en qué nos incumbe?.

    Que otros lo puedan leer... espero que no ocurra como aquí: ww2.grn.es/merce/2008/debian.html .

    Respecto a lo de añadir X funciones... pues anda que no hay barras ni plugins por ahí para el IE con todo lo cerrado que es y que hacen tropecientas mil cosas (la mayoría jodernos el ordenador pero bueno).

    Increíble la demasiada importancia que le dais algunos diría yo ¿acaso crees que FF está hecho tan de forma desinteresada como para que nos rasguemos las vestiduras por él?, no, es un programa, un buen programa diría yo, pero de ahí a no ver los errores...

    Un bug es un bug y hay que darle la importancia que tiene sea cual sea el programa y si los de Mozilla hacen algo mal hay que reprochárselo que no por eso va a dejar uno de usar su software pues todos cometemos errores pero esos errores deben de ser reprochados. Yo espero que todos los que me aprecian me digan de forma clara cuales son mis defectos porque eso de mimar en exceso nunca fue bueno.

    P.D: De nada otra vez, si quieres te voto negatifo, ¿quieres? .
    votos: 0, karma: 8
    por kadmon (#) el 20-06-2008 20:13 UTC
  50. #50   Mi router es un Linksys y su firmware es libre. :-p Incluso hay proyectos que lo han modificado, como DD-WRT (más completo que el original y válido para más routers), por ejemplo. es.wikipedia.org/wiki/DD-WRT

    Mis conocimientos no alcanzan ese nivel.

    Vale, pondré otro ejemplo: Alguien al leer el código descubre una vulnerabilidad. Informa de ella y otro persona puede enviar el código necesario para subsanarlo sin esperar a que los propios desarrolladores lo solventen.
    Esto no es exclusivo de Firefox, sino del software libre en general. Si te das una vuelta por los bugs en Launchpad (por pner un ejelo que conozco) verás que ocurre a menudo. Todos podemos contribuir a mejorar un software libre. No solo programando, existen más maneras de ayudar.
    Yo no soy programador, y no me puedo poner a buscar fallos ni solucionarlos. Pero personas ajenas a los proyectos sí, y está claro que cuatro ojos ven más que dos. Este hecho solo puede darse con software libre.

    No es lo mismo adaptar un softare que agregarle añadidos: No se puede hacer un navegador derivado de de Internet Explorer e independiente de este (o de su motor) al mismo tiempo. Tampoco se puede portar a otras arquitecturas ni plataformas.

    Vale, y yo no dije lo contrario, los errores deben ser criticados. Solo intentaba explicar por qué se machacan más los de Internet Explorer.

    Perdona por haber haberte acusado sin motivos.
    votos: 0, karma: 6
    por anonymous_at_anonymous (#) el 20-06-2008 21:22 UTC
  51. #51   #50 "Mis conocimientos no alcanzan ese nivel." Yo diría que evitar que se analice el tráfico que pasa por un ordenador no comprometido y que está entre tú e Internet a no ser que este no esté cifrado es imposible y si está cifrado ya ves algo cifrado que no debiera estar ahí. Pero podría equivocarme por eso te pregunté. Entonces lo de que no se puede saber lo que hacen otros es mentira.

    Lo del router era un ejemplo, de todas formas buena salida pero a ver como te libras de los ISPs porque todos tus datos pasan por ellos.

    La gran mayoría de los fallos se descubren probando y no leyendo el código dada la gran cantidad de líneas que tiene este, véase por ejemplo todos los agujeros que se le encuentran al IE y las diversas maneras de atacarlo sin tener el código. La mayoría también son reportados para que el equipo del programa lo arregle. Lo que dices tú es posible pero no es lo común.

    No es lo mismo adaptar un software que agregarle añadidos, cierto, adaptarlo requiere más tiempo y esfuerzo por eso lo normal es agregarle añadidos, ¿cuantos complementos hay para firefox y cuantos navegadores derivados?.

    Sigo sin entender por qué se machacan más unos que otros, un fallo es un fallo, yo no tengo nada en contra del IE, a mi no me ha hecho nada malo y si lo tuviese no por ello lo criticaría más, simplemente no lo usaría pero hay que ser objetivos.

    Perdona por haber haberte acusado sin motivos. Da igual, además quien te votó negativo tenía el mismo karma que yo.
    votos: 0, karma: 9
    por kadmon (#) el 21-06-2008 08:24 UTC
comentarios cerrados

menéame