Llegamos a ustedes gracias a:



Noticias

Mozilla parcha seis vulnerabilidades de Firefox

[04/08/2009] Hoy Mozilla parchó el Firefox 3.5 y el Firefox 3.0 para anular tres vulnerabilidades de seguridad, incluyendo un par descubiertas la semana pasada en Black Hat, y una tercera que la propia Mozilla reveló el mes pasado.

Firefox 3.0.13, la actualización del viejo navegador que Mozilla sacará de la lista de soporte en enero del 2010, incluye dos bugs, mientras que el Firefox 3.5.2 repara una falla aparte.
Las vulnerabilidades parchadas por Firefox 3.0.13 fueron presentadas el pasado jueves por Dan Kaminsky de IOActive, y el consultor en seguridad que se llama a sí mismo Moxie Marlinspike, en Black Hat en Las Vegas.
Independientemente, Kaminsky, mejor conocido como el descubridor de la vulnerabilidad del DNS (Domain Name Server) el verano septentrional pasado, y Marlinspike demostraron la forma en que los hackers podrían explotar las fallas en la implementación que hacen los navegadores del SSL (Secure Socket Layer), el protocolo de encriptamiento por default de la web.
Los atacantes podrían tomar una sesión web para robar contraseñas críticas o engañar a los usuarios de Firefox para que acepten una falsa actualización de software que contiene malware.
Firefox 3.5 ya se encontraba seguro de estos ataques, ya que los desarrolladores de Mozilla habían usado una versión más segura de NSS (Network Security Services), un conjunto de bibliotecas de código para colocar el SSL dentro de los navegadores.
Ese es el motivo por el que Firefox 3.5.2 parchó solo una vulnerabilidad, un bug en la forma en la que el navegador maneja las respuestas de una proxy SOCKS5. Mozilla calificó a la amenaza como baja ya que no encontró evidencia de corrupción de memoria, lo cual es necesario para permitir que el hacker inyecte su propio código malicioso en la máquina.
El bug SOCKS5 ha sido reparado en Firefox 3.0.12, que Mozilla lanzó el 21 de julio. No queda claro si Mozilla simplemente olvidó parchar el bug en Firefox 3.5.1, una actualización rápida lanzada el 16 de julio para impedir una falla de día cero, o si las noticias sobre la vulnerabilidad SOCKS5 llegaron a Mozilla entre el Firefox 3.5.1 y el 3.0.12.
Mozilla ha cerrado el acceso a la falla SOCKS5 en su base de datos de bugs y registros de cambios Bugzilla, así que es imposible decir cuando se registró el bug. Pero debido a que el número CVE (Common Vulnerabilities and Exposures) asignado a la vulnerabilidad fue activado el 15 de julio, cualquiera de las explicaciones es posible.
Mozilla no respondió a una solicitud de aclaración el lunes en la tarde acerca de si se había olvidado el bug SOCKS5.
De acuerdo a Net Applications, compañía de métricas web, Firefox explica el 22,5% de todos los navegadores usados a nivel mundial durante julio. Cerca de tres de cada cuatro usuarios de Firefox aún se encuentran usando el 3.x, no la nueva 3.5.
Las versiones Firefox 3.5.2 y 3.0.13 pueden ser descargadas para Windows, Mac OS X y Linux, pero los usuarios actuales también pueden usar los actualizadores de los navegadores, o esperar las notificaciones automáticas de actualizaciones que aparecen en las siguientes 48 horas.
Gregg Keizer, Computerworld (US)