Curiosa vulnerabilidad en los filtros antiphishing de Opera 9.10 y Firefox 2.0.0.1, tanto en Windows como Linux.

Read more »

Asa Dotzler, fundador y máximo responsable del control de calidad de Mozilla, se ha despachado a gusto con Opera, acusando a la empresa noruega de poner en peligro la seguridad de sus usuarios, al ocultar vulnerabilidades en su navegador “por una mera cuestión de imagen”.

Read more »

Si un sitio malicioso quiere explotar un ataque de tipo CSS o CSRF, puede resultarle de mucha ayuda saber si la víctima tiene en ese momento una sesión abierta en -digamos- Google, Hotmail, Yahoo, Blogger o Flickr, por poner algunos ejemplos.

Read more »

Un nuevo bug en Firefox permite a un atacante el robo de contraseñas de usuario guardadas en el navegador, siempre que se trate de un foro o un sitio web donde el atacante tenga permitido insertar un campo input en HTML (es decir, un formulario, que bien puede ir oculto).

Read more »

La Fundación Mozilla ha anunciado su intención de abandonar el soporte para todas las versiones 1.5.x de Firefox.
Read more »

Mozilla ha publicado una nueva actualización para la rama 1.x de su navegador, que solventa hasta cinco fallos de seguridad agrupados en tres “boletines”, todos calificados como críticos. Varias de estas vulnerabilidades son aprovechables para ejecutar código arbitrario.

Read more »

Dos nuevas versiones de navegadores muy utilizados han aparecido casi de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se supone traerían mejoras en funcionalidad y protección. Tras varios días a disposición de los usuarios, se ha demostrado que sufren distintos problemas de seguridad. Lo extraño es que varios los han heredado de sus versiones predecesoras.
Read more »

La vulnerabilidad anunciada como 0 day para Mozilla Firefox ha podido ser una broma de mal gusto a la que se ha dado demasiada credibilidad. Parece que el error no permite la ejecución de código, y (por ahora) representa un simple fallo que hace que la aplicación se cuelgue.

Read more »

Se ha encontrado una vulnerabilidad en Mozilla Firefox que permite la ejecución de código remoto. No existe parche oficial y parece que se han revelado algunos detalles sobre la forma de aprovecharla, lo que lo convierte en un 0 day. Mozilla Firefox se une así a la “moda” que atosiga a Microsoft en los últimos meses.Parece que Mischa Spiegelmock y Andrew Wbeelsoi demostraron en la conferencia hacker ToorCon una vulnerabilidad en Mozilla Firefox que puede permitir a un atacante remoto ejecutar código arbitrario en el contexto del usuario que ejecutase la aplicación, independientemente del sistema operativo sobre el que se asiente. Parece que no se han publicado (al menos en línea) más detalles técnicos sobre el problema, pero la revelación de los descubridores ha llamado la atención de los medios. En cualquier caso, se debe ser cauto, y todavía desde algunos foros, se sospecha del verdadero alcance del problema.

JavaScript ha sido una de las pesadillas de seguridad de Firefox, y ha protagonizado muchas de las vulnerabilidades del navegador hasta la fecha. De hecho, los propios Spiegelmock y Wbeelsoi califican su implementación en Firefox de “un completo desorden” y afirman conocer al menos 30 fallos más que pueden permitir vulnerar al navegador a través de desbordamientos de pila y JavaScript. “Es imposible de parchear”, afirmaron.

A Window Snyder, reciente jefa de seguridad de Mozilla, no le hizo demasiada gracia la revelación de la vulnerabilidad en público en una conferencia, sin que previamente se hubiesen puesto en contacto con el equipo de programación. Adelantó que están investigando el fallo, y que si afecta al intérprete, la solución puede llevar tiempo.

Para terminar de sembrar la polémica, los descubridores afirmaron que “Internet Explorer, como todo el mundo sabe, no es muy seguro, pero Firefox también es bastante inseguro”, avivando así una estéril discusión entre navegadores, ya bastante gastada tras, por ejemplo, el último informe de Symantec. En él, publicado a finales de septiembre, Symantec catalogaba 2.249 vulnerabilidades software descubiertas desde enero a junio de 2006. Del informe se desprendía que Internet Explorer era el navegador más atacado, pero que Mozilla Firefox sufría más vulnerabilidades. También, que Internet Explorer era el que mantenía a sus usuarios desprotegidos durante más tiempo. Este informe hizo que (como ocurre cada cierto tiempo) se volviese a discutir lo relativo de las cifras absolutas, y se condenasen los métodos de actualizaciones de Microsoft.

Sin cifras ni estadísticas, no es menos cierto que desde el laboratorio de Hispasec, se viene observando desde hace tiempo cómo los troyanos tienen cada vez más en cuenta esta “alternativa” y no es raro encontrar su nombre en el código del malware destinado al robo de credenciales, si bien no se suelen utilizar sus vulnerabilidades como medio de infección… pero esto puede cambiar con el tiempo y su creciente popularidad.

En definitiva, navegar con Firefox (o cualquier otro navegador) no garantiza un mayor grado de seguridad que si se utiliza Internet Explorer con cierto cuidado. Sobre todo si el hacerlo proporciona una falsa sensación de seguridad y por ello se dejan de tomar las medidas de seguridad adecuadas que resultan imprescindibles para usar de forma responsable cualquier programa. Esto debe ir más allá de su (subjetiva y etérea) fama de seguro o inseguro.

Más Información:

Mozilla Firefox Unspecified Javascript Remote Code Execution Vulnerability
http://www.securityfocus.com/bid/20282/discuss

0day vulnerabilities in Firefox, with source
http://blogs.securiteam.com/index.php/archives/657

Hackers claim zero-day flaw in Firefox
http://news.zdnet.com/2100-1009-6121608.html

Some Sobering Security Stats
http://blog.washingtonpost.com/securityfix/ISTR%2010%20Trends%20and%20Future%20Watch.pdf

Sergio de los Santos
ssantos@hispasec.com

Por Ramón Urán
ramonuran@videosoft.net.uy

Mozilla está distribuyendo un adelanto de su próxima versión del navegador Firefox, que promete aún más seguridad así como otras nuevas prestaciones.
Read more »