Llegamos a ustedes gracias a:



Alertas de Seguridad

Mozilla repara 12 bugs de Firefox

Un tercio de ellos eran críticos

[22/04/2009] Mozilla Corp. reparó 12 vulnerabilidades de seguridad en Firefox 3, solo unos días antes de la fecha en la que espera presentar la versión beta más reciente de su próximo navegador de código abierto, Firefox 3.5.

De la docena de fallas reparadas en Firefox 3.0.9, cuatro de ellas fueron calificadas como críticas, dos altas, dos moderadas, y cuatro bajas de acuerdo al sistema de ranking de Mozilla que consta de cuatro niveles. Ha sido la mayor cantidad de vulnerabilidades que Mozilla ha reparado desde diciembre del 2008, cuando hizo lo mismo con 13 bugs.
Las cuatro vulnerabilidades críticas -dos en el motor del navegador Firefox, dos en su motor JavaScript— fueron reparadas mediante una sola actualización múltiple pero Mozilla, como es su práctica, afirmó que podría ser explotables. Algunas de estas fallas mostraban evidencia de corrupción de la memoria bajo ciertas circunstancias y presumimos que con suficiente esfuerzo por lo menos algunas de ellas podrían ser explotadas para hacer correr código arbitrario, afirmaba un texto de consejos de seguridad.
Otras reparaciones evitan que los plug-ins de búsquedas envíen a los usuarios a sitios web maliciosos y evita que los atacantes utilicen el Adobe Flash para realizar ataques mediante solicitudes falsas u objetos similares a los cookies plantados en forma secreta en una máquina para rastrear los movimientos del usuario en la web.
Mozilla también se encargó en la actualización de varios bugs no relacionados a la seguridad, incluyendo un problema de corrupción en la base de datos que borraba los cookies y un problema por el que se mostraban imágenes en algunos servicios web, incluyendo el correo electrónico de AOL y los servicios de mensajería instantánea.
La actualización del martes, la tercera del año, se produce cuatro semanas después de que Mozilla lanzara un parche de emergencia para reparar un bug mediante el cual un estudiante universitario alemán había ganado cinco mil dólares en el concurso de hacking Pwn2Own.
Firefox 3.0.9 podría no ser la única actualización que Mozilla revele esta semana; la compañía aún está planeando lanzar Firefox 3.5 Beta 4 para finales de la semana, de acuerdo a las notas de las reuniones que se han posteado. Ese cronograma podría cambiar, sin embargo, ya que los desarrolladores de Mozilla tienen aún que declarar un code freeze, una indicación que señala que todos los bugs que debían repararse se han reparado. Actualmente hay siete bugs que deben ser resueltos antes que la beta puede ser enviada a las pruebas internas que se realizan antes de su lanzamiento.
En una nota de una reunión sostenida hoy temprano, Mozilla ha afirmado que un code freeze para Firefox 3.5 Beta 4 se realizaría día a día. La beta 4 ya ha sido postergada de acuerdo a un cronograma que señalaba que se lanzaría el 14 de abril.
Firefox 3.5, conocido antes como 3.1, fue concebido como una actualización fast track el año pasado, y originalmente se iba a lanzar a finales de 2008. Pero el progreso del navegador ha sufrido constantes demoras, ya sea para añadir nuevas características, como se hizo el otoño [septentrional] pasado, o para lidiar con los problemáticos bugs. Como resultado, Mozilla ha tenido que volver a determinar el cronograma del 3.5 en varias ocasiones. La Beta 3, la más reciente actualización para Firefox 3.5, fue lanzada el 12 de marzo.
Firefox 3.0.9 puede descargarse para Windows, Mac OS X y Linux del sitio de Mozilla. Los usuarios actuales también pueden invocar el actualizador incorporado en su navegador, o esperar a las notificaciones automáticas de actualización, las cuales aparecen a las 48 horas.
Gregg Keizer, Computerworld (USA)