Hace 14 años | Por txalin a kriptopolis.org
Publicado hace 14 años por txalin a kriptopolis.org

Vía Kriptópolis: TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución. Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso. Más info aquí (en inglés): dvlabs.tippingpoint.com

Comentarios

D
editado

#8 En su blog afirman que reciben el aviso de alguien que prefiere seguir en el anonimato cinco horas después de la salida de Firefox y que no saben por qué no encontró antes la vulnerabilidad si también estaba en Firefox 2. Simplemente me parece una coincidencia remarcable a la que doy dos posibles motivos. Otro motivo podría ser perfectamente la pura casualidad.

Desconozco si necesitan publicidad, pero creo que coincidirás conmigo en que un error crítico en un producto recién lanzado a nivel mundial es perjudicial para su imagen aunque no haya exploit. No les culpo por publicarlo porque es lo que tienen que hacer, pero eso, que me parece curioso.

hiuston
editado

Jur... Un buen owned.

¿Lo bueno? Que ya estará arreglado gracias a la comunidad

D
editado

aunque para ello se requiere que el usuario haga clic en un enlace malicioso

Pues eso mismo, tú eres la capa de protección para tu PC.

D
editado

#15 La extensión que siempre termino dejando de usar, demasiado pesada y a menos que vayas a pasar por un campo de minas (warez, porn, etc.) no merece la pena...

z
editado

#28 Decir eso es desconocer completamente la informática.

Bugs hay en todas partes. Esperemos a ver en cuanto tiempo lo solucionan y entonces hablamos...

D
editado

#30 Amén. Es de cajón, cuantos más usuarios tenga un producto, y cuanto más nuevo sea, más bugs se encontrarán estadísticamente, sea Firefox, Internet Explorer, o sea Cheli sacando whiskey para el personal. Otra cosa claro, es como de rápido se resuelvan esos bugs.

Es una máxima de la seguridad informática: usar cosas probadas y establecidas, y migrar siempre los sistemas con cuidado.

k
editado

#43 , #41 se entera de lo que quiere, lo demás parece desecharlo. Lo de "resuelto en unos días" hace siglos que no se ve.

#42 ¿Prefieres que lo publiquen para que cualquiera pueda explotarlo antes de que esté arreglado?, ya se han dado los motivos por los que no se dan más detalles, a mi me parece lógico. No creo que Mozilla se ponga a investigar algo que es mentira.

¿cargar una página, clicar en un enlace es "montar un pollo de la hostia"?, te recomiendo que des unas vueltas por aquí, no te pasará nada pero es divertido (absténganse cualquier otra persona que no sea #42):
lcamtuf.coredump.cx
lcamtuf.coredump.cx
lcamtuf.coredump.cx

Lo increíble es que dos versiones después esto todavía no esté solucionado.

Lo que dices del IE ya no tiene nombre, a parte de ser algo totalmente subjetivo. No te diré yo porque suelo tener cuidado pero mi hermano que el otro día me dijo que pensaba que todas las webs estaban guardadas (alojadas) en Google usa IE desde hace 4 meses, hoy su ordenador e IE andan como un reloj.

P.D: yo sigo prefiriendo Firefox pero cada cosa en su sitio.

k
editado

#1 Espero que sea un chiste

#2 ¿Un mes después como las cuatro o cinco vulnerabilidades anteriores en el .13 .12 .11....?

#4 Valiente "chiste" en una noticia como esta como se nota quien es fanboy por aquí...

#7 Por supuesto, el sagrado zorro no puede tener imperfección alguna, siempre culpa de los demás. Amén de lo que dice #8

#10 Sea como fuere el fallo está ahí.

#15 Las estadísticas demuestran que el 99.9% de los conductores nunca han tenido ningún accidente con el coche en el garaje y el motor apagado. Los scripts son perfectamente válidos, no hay porque bloquearlos para ver una medio web, lo que hay que hacer es un producto no vulnerable.

#24 y #31 ¿recordamos las últimas vulnerabilidades de firefox en sus versiones .13, .12 y .11 y el tiempo de respuesta que fue de... UN MES?

En fin, firefox es un buen navegador, es el que uso pero no por ello estoy ciego para no ver cuando meten la pata.

P.D: #36 espero que no se saturen los servidores

D
editado

«Según Giorgio Maone, una vez más los usuarios de NoScript estarían a salvo»

addons.mozilla.org

D
editado

#5 te has ganado mi eterna enemistad.

D
editado

Harán el Parche-Day??

L
editado

"aunque para ello se requiere que el usuario haga clic en un enlace malicioso"

Si el fallo de seguridad fuera en IE, esa frase seria:

"basta con que tan solo el usuario haga clic en un enlace malicioso"

Uso Firefox, pero no se por que la gente lo defiende con uñas y dientes.

sam2001
editado

O sea... que como cada persona se haya instalado el Firefox 3.0, tenemos 8 millones de usuarios comprometidos...

damian
editado

#28 La diferencia es que con Firefox a las pocas horas el bug esta resuelto...si fuera un bug del Explorer a las "pocas semanas" estaría resulto.

icegreen
editado

#16 a mi lo del campo de minas, como que me da bastante igual... a mi S.O. no le afectan...

sorrillo
editado

Yo siempre recomiendo Firefox a todos mis amigos, siempre les digo que se lo pongan porque es mucho mas seguro que el Internet Explorer, que esta lleno de agujeros.
Internet, 22 de Marzo de 2006

No es mas seguro por ser menos popular, simplemente esta mas bien hecho.
Internet, 22 de Marzo de 2006 (30 minutos mas tarde en la discusión en curso)

k
editado

#45 Si si... ¿y si la luna estuviese hecha de queso? //El núcleo.

¿sabes tu lo que está haciendo FF?, //No, pero me dirás "yo no pero otros pueden ver el código".

¿sabes lo que es un Snifer o, mas simple, un cortafuegos? ¿acaso no hay programas para analizar el tráfico y monitorizar lo que hace una aplicación?. Así que o estos programas "privativos" realizan conexiones cifradas para enviar "esos datos" o Sí se puede saber lo que envían o dejan de enviar. Y si la conexión está cifrada sabes que existe una conexión cifrada que no debería de estar ahí.

Decimos lo mismo de siempre aunque sea mentira, todo por la patria.

Lo de "es nuestro" suena a hinchas de un equipo de fútbol donde la objetividad brilla por su ausencia, es libre así que no importa lo que haga porque todo está bien.

D
editado

#24 Hace unas semanas apareció una noticia sobre una extensión del firefox 2 que tenía una grave vulnerabilidad y que se podía descargar desde la web de Mozilla desde hacía varios meses. A veces la teoría de que miles de personas revisan el código no se materializa en la práctica y el software libre no tiene por qué actualizarse antes que el software privado.

Toranks
editado

¿Dónde está el enlace malicioso? No lo encuentro

t
autor
editado

#1 Buena observacion, si señor, pero no, es kriptopolis

yello
editado

Realmente el Download Day era una conspiración para que Mozilla tuviese controlado a 8 millones de personas que descargaron su software y asi poder entrar a nuestro ordenador y apropiarse de nuestro dinero uuuooohhhh uohhhhhhh quitaré el cable de red para que no se vayan los billetes !!

D
editado

esto no pasaría si usáseis firefox... porque es software libre... es más seguro... (upss)

test
editado

Completamente de acuerdo con #37, solo que yo uso IE7, y la única razón por la que no me gustan los usuarios de Firefox es porque están ciegos... A ver si se hace un poquito más popular, y ya veréis como el número de errores críticos en Firefox irá superando al de IE, pero no por eso saldrán noticias de "IE es más seguro que FF"

D
editado

zas!! en todo el download day

D
editado

relacionada?

Hace 14 años | Por John_Doe a arstechnica.com
Publicado hace 14 años por John_Doe a arstechnica.com

Al igual que hicieron en el 2006, con la puesta en producción de Mozilla Firefox 2, http://www.flickr.com/photos/jollyjake/278562314/, el equipo desarrollo de Microsoft Internet Explorer ha vuelto a enviar un pastel (esta vez un poco más elaborado) felicitando al de Mozilla Firefox por la nueva versión que se ha liberado ayer. Vía http://digg.com Más fotos: http://flickr.com/photos/robceemoz/2587912633/ y http://flickr.com/photos/robceemoz/2588746706/


Ya sabía yo que ese pastel no era de fiar..

k
editado

#50 "Mis conocimientos no alcanzan ese nivel." Yo diría que evitar que se analice el tráfico que pasa por un ordenador no comprometido y que está entre tú e Internet a no ser que este no esté cifrado es imposible y si está cifrado ya ves algo cifrado que no debiera estar ahí. Pero podría equivocarme por eso te pregunté. Entonces lo de que no se puede saber lo que hacen otros es mentira.

Lo del router era un ejemplo, de todas formas buena salida pero a ver como te libras de los ISPs porque todos tus datos pasan por ellos.

La gran mayoría de los fallos se descubren probando y no leyendo el código dada la gran cantidad de líneas que tiene este, véase por ejemplo todos los agujeros que se le encuentran al IE y las diversas maneras de atacarlo sin tener el código. La mayoría también son reportados para que el equipo del programa lo arregle. Lo que dices tú es posible pero no es lo común.

No es lo mismo adaptar un software que agregarle añadidos, cierto, adaptarlo requiere más tiempo y esfuerzo por eso lo normal es agregarle añadidos, ¿cuantos complementos hay para firefox y cuantos navegadores derivados?.

Sigo sin entender por qué se machacan más unos que otros, un fallo es un fallo, yo no tengo nada en contra del IE, a mi no me ha hecho nada malo y si lo tuviese no por ello lo criticaría más, simplemente no lo usaría pero hay que ser objetivos.

Perdona por haber haberte acusado sin motivos. Da igual, además quien te votó negativo tenía el mismo karma que yo.

k
editado

#48 Vale, empezaré a responderte por el final: De nada por mi voto que no te di, si quieres te voto negativo en los dos comentarios que todavía estoy a tiempo, tan solo por el suponer... así tus gracias no serían en vano ¿quieres?, porque en esta noticia todavía no voté a nadie negativo. Menos suponer...

Bien, aclarado lo del negativo vengámonos al mundo real: Habrá formas de evitar un cortafuegos o un sniffer pero la probabilidad de que eso ocurra de verdad en un navegador "privativo" tiende a cero, por no decir nula. Puestos a ser paranoicos desconfiemos de los routers pues en su firmware puede haber "algo" que envíe todas nuestras contraseñas a los malotes de los fabricantes.

Ya en plan didáctico y con ganas de aprender, en serio, no va con segundas, dime como evitar por ejemplo que se analice el tráfico que sale de tu ordenador si este pasa por otro ordenador que hace de proxy por lo que todos los datos pasan por ese segundo ordenador el cual no está comprometido. No vale el cifrado porque veríamos una conexión cifrada.

Que una empresa pague para que alguien revise las miles de líneas de código que tendrá FF3 es subrealista, quien necesite tanta seguridad seguramente usará otro programa y no firefox. Además, después de pagar por ello ¿tú crees que nos dirán a nosotros lo que hayan descubiertos?, lo dudo, así que ¿en qué nos incumbe?.

Que otros lo puedan leer... espero que no ocurra como aquí: ww2.grn.es .

Respecto a lo de añadir X funciones... pues anda que no hay barras ni plugins por ahí para el IE con todo lo cerrado que es y que hacen tropecientas mil cosas (la mayoría jodernos el ordenador pero bueno).

Increíble la demasiada importancia que le dais algunos diría yo ¿acaso crees que FF está hecho tan de forma desinteresada como para que nos rasguemos las vestiduras por él?, no, es un programa, un buen programa diría yo, pero de ahí a no ver los errores...

Un bug es un bug y hay que darle la importancia que tiene sea cual sea el programa y si los de Mozilla hacen algo mal hay que reprochárselo que no por eso va a dejar uno de usar su software pues todos cometemos errores pero esos errores deben de ser reprochados. Yo espero que todos los que me aprecian me digan de forma clara cuales son mis defectos porque eso de mimar en exceso nunca fue bueno.

P.D: De nada otra vez, si quieres te voto negatifo, ¿quieres? .

z
editado

#33 No es lo mismo una vulnerabilidad en el propio Firefox que en una de sus extensiones, no tienen el mismo equipo por detrás.

Por lo menos no calificaron el bug de "feature"

t
autor
editado

#10 Umh... eso no lo habia leido (envie el enlace desde el curro ), en ese caso, si que resulta pelin sospechoso...

D
editado

Montes: ¡Qué poco dura la alegría en la casa del pobre! ¡Salinaaaaaas!

Por cierto, ahora podían hacer para cuando salga el parche el "Actualization Day" e intentar batir el record de usuarios actualizados

k
editado

Se me olvidaba #9 : joer... es que es tan tan difícil hacer clic en los enlaces de una web que ¿quien va a hacer clic en un enlace, quien hace clics en los enlaces de las webs?, tan solo los kamikazes.

Pf, vaya tontería acabas de decir.

P.D: ¿y esos enlaces estarán señalados con letreros super mega grades del estilo "DANGER" "PELIGRO", "¡¡¡FISTRO PECADORRRR, NO TOCARRR!!!" o serán, como es lógico, como todos los enlaces?

z
editado

#39 "A ver si se hace un poquito más popular"
Amen!

sorrillo
editado

Cuando hablamos de software quien usa la seguridad como arma arrojadiza es muy probable que se hiera a si mismo.

t
autor
editado

#8 ¿¿?? Conoces por un casual a la gente que lo ha descubierto? Publicidad no les hace falta, y no dañan la imagne ya que no han publicado el exploit, solo es un toque de atgencion

botwalk
editado

No script + Adblock plus...

MStephano
editado

#46: Me esperaba una respuesta así. Sí, sé lo que es un sniffer y un cortafuegos y los he utilizado, por lo que también sé que hay forma de evitarlos.
Y sí, otros lo pueden leer, o en el caso de que una empresa lo necesitase podría pagar a alguien para que lo viera, o incluso podría pagar a un programador para implementar X funciones que necesite en el navegador. Esta es una de las razones por las que que dije "es nuestro". No tiene nada que ver con lo de "todo por la patria". Es más, no se trata de ningún fanatismo ya que yo prefiero Konqueror a Firefox (consume menos y por supuesto está bien integrado con KDE), sólo que en algunas ocasiones necesito el segundo.

Increíble la poca importancia que le das al software libre.
Gracias por voto tu negativo anterior (y el que venga).

Como verás lo único que he tratado de explicar es por qué Firefox tiene un trato diferente a los otros navegadores. Para unos será mejor, para otros peor. Pero por lo que explicado en #45 y aquí, es por lo que se responde menos negativamente a sus bugs.

Y ahora vas y me vuelves a votar negativo por expresar mi opinión y no ofender a nadie. Gracias por tu voto.

MStephano
editado

Mi router es un Linksys y su firmware es libre. Incluso hay proyectos que lo han modificado, como DD-WRT (más completo que el original y válido para más routers), por ejemplo. es.wikipedia.org

Mis conocimientos no alcanzan ese nivel.

Vale, pondré otro ejemplo: Alguien al leer el código descubre una vulnerabilidad. Informa de ella y otro persona puede enviar el código necesario para subsanarlo sin esperar a que los propios desarrolladores lo solventen.
Esto no es exclusivo de Firefox, sino del software libre en general. Si te das una vuelta por los bugs en Launchpad (por pner un ejelo que conozco) verás que ocurre a menudo. Todos podemos contribuir a mejorar un software libre. No solo programando, existen más maneras de ayudar.
Yo no soy programador, y no me puedo poner a buscar fallos ni solucionarlos. Pero personas ajenas a los proyectos sí, y está claro que cuatro ojos ven más que dos. Este hecho solo puede darse con software libre.

No es lo mismo adaptar un softare que agregarle añadidos: No se puede hacer un navegador derivado de de Internet Explorer e independiente de este (o de su motor) al mismo tiempo. Tampoco se puede portar a otras arquitecturas ni plataformas.

Vale, y yo no dije lo contrario, los errores deben ser criticados. Solo intentaba explicar por qué se machacan más los de Internet Explorer.

Perdona por haber haberte acusado sin motivos.

kamandula
editado

#10 Paranoia, paranoia, SUPERPARANOIA!!!
P.D.: Me voy a auto-otorgar el premio friki de hoy. Porque yo lo valgo .

e
editado

pues a mi esto me suena a que encontraron la vulnerabilidad en la 2.0 y y resulta q tambien sucede en la 3.0 y no al reves... En fin... nadie prometio que F3.0 fuese a ser perfecto no?

mini-d
editado

Perdón, no se ha dicho qué es lo vulnerable, ni tampoco se muestran pruebas. Eso para mí es lo mismo que nada. Además, hace años que, veo siempre las mimas pelotudeces de "vulnerabilidades" que para reproducirlas hay que montar unos pollos bestiales. Entre IE y Firefox no hay comparación. IE es un software de juguete, demasiado inestable y que sí complica la seguridad personal de cualquiera sólo navegando páginas.

Es una cuestión de instalar un Windows, y navegar una hora con el dichoso navegador y os daréis cuenta de la cantidad de basura que tendrá el ordenador en un mes instalado.

j
editado

Acabo de instalarlo

D
editado

#31 Repites el comentario de #24 al cual respondí en #26
En él verás que tus pocas horas a veces son meses.

damian
editado

#33 El problema es que en el caso de Microsoft las Semanas de Espera son lo normal...no algo casual. De todas formas en la página de Addons de Mozilla te dejan bien claro que los addons que no estén firmados no son responsabilidad suya. (como es logico)

¿Por cierto me puedes enviar algo más de información sobre esa vulnerabilidad de la que hablas?

Un saludo.

D
editado

#41 En el comentario #37 te remiten a otros fallos que también se tardaron meses en solucionar. Si te interesa la vulnerabilidad, eres libre de encontrarla en el buscador de menéame, ya que fue portada hace algunas semanas.

Reseko
editado

#19 no es mas seguro porque es soft libre, pero si que se ha descubierto seguramente mucho antes que si fuera soft privativo, y se solucionara en 1 o 2 dias seguramente

MStephano
editado

#25: Yo creo que es porque la principal diferencia (además de otras que leído) es que Firefox es libre, y como todo software de este tipo, "es nuestro" (nótese el entrecomillado). Además, Microsoft trata de ocultar sus bugs o desmentirlos aún siendo ciertos. ¿Ves ahora la diferencia?

¿Sabe alguien realmente qué está haciendo Internet Explorer, Opera, o cualquier otro software no libre, además de "lo que se ve"?. No, ni puede saberse. ¿Quién te dice que, por poner un ejemplo, no puedan estar recopilando tu información?

El programador que haya creado un software libre de bugs, que tire la primera piedra.

p
editado

juaaaaaassssss!!! para que digais que los bugs son cosa de microsoft