EDICIóN GENERAL
340 meneos
 

Primera vulnerabilidad en Firefox 3.0

Vía Kriptópolis: TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución. Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso. Más info aquí (en inglés): dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firef

| etiquetas: firefox 3 , zero day , vulnerabilidad , seguridad
187 153 6 K 476 mnm
187 153 6 K 476 mnm
¿Seguro que el enlace que nos has puesto no es el enlace malicioso?

Ante la duda voto negativo tu noticia: Voto paraonoico. xD
Me parece mucha casualidad que justo después del lanzamiento se encuentre una vulnerabilidad; yo diría que es un intento de dañar la imagen de Firefox demostrando que es inseguro o bien una manera de hacerse publicidad...
Algunos sois muy benevolentes cuando sabeis perfectamente que echariais pestes si fuera otro explorador.
#8 En su blog afirman que reciben el aviso de alguien que prefiere seguir en el anonimato cinco horas después de la salida de Firefox y que no saben por qué no encontró antes la vulnerabilidad si también estaba en Firefox 2. Simplemente me parece una coincidencia remarcable a la que doy dos posibles motivos. Otro motivo podría ser perfectamente la pura casualidad.

Desconozco si necesitan publicidad, pero creo que coincidirás conmigo en que un error crítico en un producto recién lanzado a nivel mundial es perjudicial para su imagen aunque no haya exploit. No les culpo por publicarlo porque es lo que tienen que hacer, pero eso, que me parece curioso.
Jur... Un buen owned.

¿Lo bueno? Que ya estará arreglado gracias a la comunidad :-)
aunque para ello se requiere que el usuario haga clic en un enlace malicioso

Pues eso mismo, tú eres la capa de protección para tu PC.
#15 La extensión que siempre termino dejando de usar, demasiado pesada y a menos que vayas a pasar por un campo de minas (warez, porn, etc.) no merece la pena...
#28 Decir eso es desconocer completamente la informática.

Bugs hay en todas partes. Esperemos a ver en cuanto tiempo lo solucionan y entonces hablamos...
#30 Amén. Es de cajón, cuantos más usuarios tenga un producto, y cuanto más nuevo sea, más bugs se encontrarán estadísticamente, sea Firefox, Internet Explorer, o sea Cheli sacando whiskey para el personal. Otra cosa claro, es como de rápido se resuelvan esos bugs.

Es una máxima de la seguridad informática: usar cosas probadas y establecidas, y migrar siempre los sistemas con cuidado.
#43 , #41 se entera de lo que quiere, lo demás parece desecharlo. Lo de "resuelto en unos días" hace siglos que no se ve.

#42 ¿Prefieres que lo publiquen para que cualquiera pueda explotarlo antes de que esté arreglado?, ya se han dado los motivos por los que no se dan más detalles, a mi me parece lógico. No creo que Mozilla se ponga a investigar algo que es mentira.

¿cargar una página, clicar en un enlace es "montar un pollo de la hostia"?, te recomiendo que des unas…   » ver todo el comentario
#1 Espero que sea un chiste

#2 ¿Un mes después como las cuatro o cinco vulnerabilidades anteriores en el .13 .12 .11....?

#4 Valiente "chiste" en una noticia como esta como se nota quien es fanboy por aquí...

#7 Por supuesto, el sagrado zorro no puede tener imperfección alguna, siempre culpa de los demás. Amén de lo que dice #8

#10 Sea como fuere el fallo está ahí.

#15 Las estadísticas demuestran que el 99.9% de los conductores nunca han tenido ningún accidente con el…   » ver todo el comentario
#5 te has ganado mi eterna enemistad.
"aunque para ello se requiere que el usuario haga clic en un enlace malicioso"

Si el fallo de seguridad fuera en IE, esa frase seria:

"basta con que tan solo el usuario haga clic en un enlace malicioso"

Uso Firefox, pero no se por que la gente lo defiende con uñas y dientes.
Harán el Parche-Day??
O sea... que como cada persona se haya instalado el Firefox 3.0, tenemos 8 millones de usuarios comprometidos...
Yo siempre recomiendo Firefox a todos mis amigos, siempre les digo que se lo pongan porque es mucho mas seguro que el Internet Explorer, que esta lleno de agujeros.
Internet, 22 de Marzo de 2006

No es mas seguro por ser menos popular, simplemente esta mas bien hecho.
Internet, 22 de Marzo de 2006 (30 minutos mas tarde en la discusión en curso)
#45 Si si... ¿y si la luna estuviese hecha de queso? //El núcleo.

¿sabes tu lo que está haciendo FF?, //No, pero me dirás "yo no pero otros pueden ver el código".

¿sabes lo que es un Snifer o, mas simple, un cortafuegos? ¿acaso no hay programas para analizar el tráfico y monitorizar lo que hace una aplicación?. Así que o estos programas "privativos" realizan conexiones cifradas para enviar "esos datos" o Sí se puede saber lo que envían o dejan de enviar. Y si…   » ver todo el comentario
#28 La diferencia es que con Firefox a las pocas horas el bug esta resuelto...si fuera un bug del Explorer a las "pocas semanas" estaría resulto.
#16 a mi lo del campo de minas, como que me da bastante igual... a mi S.O. no le afectan...
Realmente el Download Day era una conspiración para que Mozilla tuviese controlado a 8 millones de personas que descargaron su software y asi poder entrar a nuestro ordenador y apropiarse de nuestro dinero uuuooohhhh uohhhhhhh quitaré el cable de red para que no se vayan los billetes !!
¿Dónde está el enlace malicioso? No lo encuentro
#1 Buena observacion, si señor, pero no, es kriptopolis xD
Completamente de acuerdo con #37, solo que yo uso IE7, y la única razón por la que no me gustan los usuarios de Firefox es porque están ciegos... A ver si se hace un poquito más popular, y ya veréis como el número de errores críticos en Firefox irá superando al de IE, pero no por eso saldrán noticias de "IE es más seguro que FF"
#50 "Mis conocimientos no alcanzan ese nivel." Yo diría que evitar que se analice el tráfico que pasa por un ordenador no comprometido y que está entre tú e Internet a no ser que este no esté cifrado es imposible y si está cifrado ya ves algo cifrado que no debiera estar ahí. Pero podría equivocarme por eso te pregunté. Entonces lo de que no se puede saber lo que hacen otros es mentira.

Lo del router era un ejemplo, de todas formas buena salida pero a ver como te libras de los ISPs…   » ver todo el comentario
Cuando hablamos de software quien usa la seguridad como arma arrojadiza es muy probable que se hiera a si mismo.
#48 Vale, empezaré a responderte por el final: De nada por mi voto que no te di, si quieres te voto negativo en los dos comentarios que todavía estoy a tiempo, tan solo por el suponer... así tus gracias no serían en vano ¿quieres?, porque en esta noticia todavía no voté a nadie negativo. Menos suponer...

Bien, aclarado lo del negativo vengámonos al mundo real: Habrá formas de evitar un cortafuegos o un sniffer pero la probabilidad de que eso ocurra de verdad en un navegador &qu…   » ver todo el comentario
#33 No es lo mismo una vulnerabilidad en el propio Firefox que en una de sus extensiones, no tienen el mismo equipo por detrás.

Por lo menos no calificaron el bug de "feature"
#10 Umh... eso no lo habia leido (envie el enlace desde el curro :-D), en ese caso, si que resulta pelin sospechoso... :-)
Se me olvidaba #9 : joer... es que es tan tan difícil hacer clic en los enlaces de una web que ¿quien va a hacer clic en un enlace, quien hace clics en los enlaces de las webs?, tan solo los kamikazes.

Pf, vaya tontería acabas de decir.

P.D: ¿y esos enlaces estarán señalados con letreros super mega grades del estilo "DANGER" "PELIGRO", "¡¡¡FISTRO PECADORRRR, NO TOCARRR!!!" o serán, como es lógico, como todos los enlaces?
#39 "A ver si se hace un poquito más popular"
Amen!
#8 ¿¿?? Conoces por un casual a la gente que lo ha descubierto? Publicidad no les hace falta, y no dañan la imagne ya que no han publicado el exploit, solo es un toque de atgencion :-)
Perdón, no se ha dicho qué es lo vulnerable, ni tampoco se muestran pruebas. Eso para mí es lo mismo que nada. Además, hace años que, veo siempre las mimas pelotudeces de "vulnerabilidades" que para reproducirlas hay que montar unos pollos bestiales. Entre IE y Firefox no hay comparación. IE es un software de juguete, demasiado inestable y que sí complica la seguridad personal de cualquiera sólo navegando páginas.

Es una cuestión de instalar un Windows, y navegar una hora con el dichoso navegador y os daréis cuenta de la cantidad de basura que tendrá el ordenador en un mes instalado.
Acabo de instalarlo
No script + Adblock plus...
#46: Me esperaba una respuesta así. Sí, sé lo que es un sniffer y un cortafuegos y los he utilizado, por lo que también sé que hay forma de evitarlos.
Y sí, otros lo pueden leer, o en el caso de que una empresa lo necesitase podría pagar a alguien para que lo viera, o incluso podría pagar a un programador para implementar X funciones que necesite en el navegador. Esta es una de las razones por las que que dije "es nuestro". No tiene nada que ver con lo de "todo por la…   » ver todo el comentario
Mi router es un Linksys y su firmware es libre. :-P Incluso hay proyectos que lo han modificado, como DD-WRT (más completo que el original y válido para más routers), por ejemplo. es.wikipedia.org/wiki/DD-WRT

Mis conocimientos no alcanzan ese nivel.

Vale, pondré otro ejemplo: Alguien al leer el código descubre una vulnerabilidad. Informa de ella y otro persona puede enviar el código necesario para subsanarlo sin esperar a que los propios desarrolladores lo solventen.
Esto no…   » ver todo el comentario
#10 Paranoia, paranoia, SUPERPARANOIA!!!
P.D.: Me voy a auto-otorgar el premio friki de hoy. Porque yo lo valgo xD.
pues a mi esto me suena a que encontraron la vulnerabilidad en la 2.0 y y resulta q tambien sucede en la 3.0 y no al reves... En fin... nadie prometio que F3.0 fuese a ser perfecto no?
#33 El problema es que en el caso de Microsoft las Semanas de Espera son lo normal...no algo casual. De todas formas en la página de Addons de Mozilla te dejan bien claro que los addons que no estén firmados no son responsabilidad suya. (como es logico)

¿Por cierto me puedes enviar algo más de información sobre esa vulnerabilidad de la que hablas?

Un saludo.
#19 no es mas seguro porque es soft libre, pero si que se ha descubierto seguramente mucho antes que si fuera soft privativo, y se solucionara en 1 o 2 dias seguramente
#25: Yo creo que es porque la principal diferencia (además de otras que leído) es que Firefox es libre, y como todo software de este tipo, "es nuestro" (nótese el entrecomillado). Además, Microsoft trata de ocultar sus bugs o desmentirlos aún siendo ciertos. ¿Ves ahora la diferencia?

¿Sabe alguien realmente qué está haciendo Internet Explorer, Opera, o cualquier otro software no libre, además de "lo que se ve"?. No, ni puede saberse. ¿Quién te dice que, por poner un ejemplo, no puedan estar recopilando tu información?

El programador que haya creado un software libre de bugs, que tire la primera piedra.
juaaaaaassssss!!! para que digais que los bugs son cosa de microsoft
comentarios cerrados

menéame