Grave riesgo amenaza a usuarios de Firefox en Windows XP
Pese a que algunos expertos de seguridad (empezando por Schneier) se sienten más seguros con Opera, yo -como no soy ningún experto- me permito seguir utilizando Firefox simplemente porque me gusta.
Sin embargo me sigue llamando poderosamente la atención el manto de silencio que -al menos en la Internet hispana- cubre las frecuentes cagadas de Firefox. Sólo así (y gracias al extendido uso del benéfico NoScript), se explica que no hayan saltado todas las alarmas ante la gravísima vulnerabilidad que afecta incluso a la última versión del navegador de Mozilla bajo Windows XP...
Actualización (27-Julio, 12:25) -> Acabo de localizar una versión 2.0.0.6 que, pese a estar en la carpeta de las Release Candidates, tiene todo el aspecto de ser (casi) definitiva. Tras instalarlo en mi XP y arrancarlo me produjo un pantallazo azul y Windows se reinició solo. En el siguiente arranque el navegador funciona correctamente y ya no resulta vulnerable a las demos publicadas.
Actualización (27-Julio, 11:10) -> Acabo de añadir un listado de referencias informativas. Dejo al criterio del lector la credibilidad de aquellos medios que informan o callan, exageran o minimizan, en función de si el producto afectado -o la empresa fabricante- es o no de su particular agrado.
Y es que esta vez no caben medias tintas, porque se trata de un "zero day" en toda regla, que permite la ejecución silente de código y el compromiso total de la máquina, sin más que seguir un enlace malicioso en una web.
Kriptópolis es uno de los pocos sitios (no sé si el único) que anticipó hace ya un par de días el evidente riesgo (incluyendo un enlace a las elocuentes demostraciones), pero vale, por mí perfecto. Sigan ustedes mirando para otro lado mientras Mozilla deshoja la margarita y el US-CERT decreta la alerta máxima.
REFERENCIAS:
- Related Security Issue in URL Protocol Handling on Windows [Mozilla Security Blog].
- Mozilla confirms own URL handling bug [Security Focus].
- Remote Command Execution in FireFox et al [Billy (BK) Rios, descubridor del bug].
- Zero-day security flaw leaves Firefox wide open [The Register].
- Mozilla Protocol Abuse [Larholm.com].
- Hey, Mozilla: Quotes Are Not Legal in a URL [Jesper's Blog].
- Mozilla caught napping on URL protocol handling flaw [ZDNet].
- Microsoft Windows URI Handling Command Execution Vulnerability [Secunia, quien se desmarca de todo el mundo y atribuye la vulnerabilidad al propio Windows].
- The Protocol Handler Saga Continues: Say What Secunia? [Jesper's Blog].
- Firefox and Internet Explorer 7 still not getting along [Heise Security].
- Firefox and IE Still Not Getting Along [Slashdot].
- Researchers Reveal Another Firefox Flaw [PCWorld].
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!