Eli
340meneos

Primera vulnerabilidad en Firefox 3.0

Vía Kriptópolis: TippingPoint afirma que cinco horas después del lanzamiento oficial de Firefox 3.0 ya tenían constancia de una vulnerabilidad crítica, de la que no revelan más detalles mientras Mozilla trabaja en una solución. Sólo sabemos que afecta también a Firefox 2.0 y que permite ejecutar código arbitrario, aunque para ello se requiere que el usuario haga clic en un enlace malicioso. Más info aquí (en inglés): dvlabs.tippingpoint.com/blog/2008/06/18/vulnerability-in-mozilla-firef0

 51 comentarios en: tecnología, seguridad karma: 476
etiquetas: firefox 3, zero day, vulnerabilidad, seguridad
votos negativos: 6  usuarios: 187  anónimos: 153  
últimas relacionadas
  1. #1   ¿Seguro que el enlace que nos has puesto no es el enlace malicioso?

    Ante la duda voto negativo tu noticia: Voto paraonoico. XDD
    votos: 22, karma: 185
    por Juanal el 19-06-2008 11:18
  2. #2   Jur... Un buen owned.

    ¿Lo bueno? Que ya estará arreglado gracias a la comunidad :-)
    votos: 3, karma: 30
    por hiuston el 19-06-2008 11:18
  3. #3   #1 Buena observacion, si señor, pero no, es kriptopolis xD
    votos: 1, karma: 14
    por txalin el 19-06-2008 11:19
  4. #4   El enlace malicioso es este:
    internet-explorer-7.softonic.com/
    votos: 19, karma: 109
    por jaspe el 19-06-2008 11:30
  5. #5   zas!! en todo el download day
    votos: 16, karma: 11
    por voltronovo el 19-06-2008 11:34
  6. #6   » ver comentario
    por Republicano_0 el 19-06-2008 11:56
  7. #7   Me parece mucha casualidad que justo después del lanzamiento se encuentre una vulnerabilidad; yo diría que es un intento de dañar la imagen de Firefox demostrando que es inseguro o bien una manera de hacerse publicidad...
    votos: 7, karma: 47
    por tribal el 19-06-2008 12:38
  8. #8   #8 ¿¿?? Conoces por un casual a la gente que lo ha descubierto? Publicidad no les hace falta, y no dañan la imagne ya que no han publicado el exploit, solo es un toque de atgencion :)
    votos: 0, karma: 7
    por txalin el 19-06-2008 13:24
  9. #9   aunque para ello se requiere que el usuario haga clic en un enlace malicioso

    Pues eso mismo, tú eres la capa de protección para tu PC.
    votos: 2, karma: 29
    por bull3tpr00f el 19-06-2008 14:16
  10. #10   #8 En su blog afirman que reciben el aviso de alguien que prefiere seguir en el anonimato cinco horas después de la salida de Firefox y que no saben por qué no encontró antes la vulnerabilidad si también estaba en Firefox 2. Simplemente me parece una coincidencia remarcable a la que doy dos posibles motivos. Otro motivo podría ser perfectamente la pura casualidad.

    Desconozco si necesitan publicidad, pero creo que coincidirás conmigo en que un error crítico en un producto recién lanzado a nivel mundial es perjudicial para su imagen aunque no haya exploit. No les culpo por publicarlo porque es lo que tienen que hacer, pero eso, que me parece curioso.
    votos: 3, karma: 31
    por tribal el 19-06-2008 14:46
  11. #11   Acabo de instalarlo
    votos: 0, karma: 6
    por jhhon el 19-06-2008 17:52
  12. #12   O sea... que como cada persona se haya instalado el Firefox 3.0, tenemos 8 millones de usuarios comprometidos...
    votos: 1, karma: 17
    por sam2001 el 19-06-2008 20:53
  13. #13   Yo siempre recomiendo Firefox a todos mis amigos, siempre les digo que se lo pongan porque es mucho mas seguro que el Internet Explorer, que esta lleno de agujeros.
    Internet, 22 de Marzo de 2006

    No es mas seguro por ser menos popular, simplemente esta mas bien hecho.
    Internet, 22 de Marzo de 2006 (30 minutos mas tarde en la discusión en curso)
    votos: 1, karma: 16
    por sorrillo el 19-06-2008 22:10
  14. #14   Realmente el Download Day era una conspiración para que Mozilla tuviese controlado a 8 millones de personas que descargaron su software y asi poder entrar a nuestro ordenador y apropiarse de nuestro dinero uuuooohhhh uohhhhhhh quitaré el cable de red para que no se vayan los billetes !!
    votos: 1, karma: 14
    por yello el 19-06-2008 23:37
  15. #15   «Según Giorgio Maone, una vez más los usuarios de NoScript estarían a salvo»

    addons.mozilla.org/es-ES/firefox/addon/722

    ;-)
    votos: 2, karma: 22
    por shinkiro el 19-06-2008 23:59
  16. #16   #15 La extensión que siempre termino dejando de usar, demasiado pesada y a menos que vayas a pasar por un campo de minas (warez, porn, etc.) no merece la pena...
    votos: 3, karma: 28
    por Mpmx el 20-06-2008 01:37
  17. #17   #16 a mi lo del campo de minas, como que me da bastante igual... a mi S.O. no le afectan...
    votos: 3, karma: 16
    por icegreen el 20-06-2008 01:56
  18. #18   ¿Dónde está el enlace malicioso? No lo encuentro
    votos: 1, karma: 14
    por Toranks el 20-06-2008 02:08
  19. #19   esto no pasaría si usáseis firefox... porque es software libre... es más seguro... (upss)
    votos: 5, karma: 12
    por CH4rl1 el 20-06-2008 08:01
  20. #20   #10 Umh... eso no lo habia leido (envie el enlace desde el curro :-D), en ese caso, si que resulta pelin sospechoso... :)
    votos: 0, karma: 8
    por txalin el 20-06-2008 08:20
  21. #21   pues a mi esto me suena a que encontraron la vulnerabilidad en la 2.0 y y resulta q tambien sucede en la 3.0 y no al reves... En fin... nadie prometio que F3.0 fuese a ser perfecto no?
    votos: 0, karma: 6
    por geixer el 20-06-2008 08:28
  22. #22   » ver comentario
    por --66261-- el 20-06-2008 08:35
  23. #23   relacionada? meneame.net/story/equipo-desarrollo-ie-felicita-firefox-pastel
    Ya sabía yo que ese pastel no era de fiar..
    votos: 2, karma: 10
    por s0kar el 20-06-2008 08:35
  24. #24   #19 no es mas seguro porque es soft libre, pero si que se ha descubierto seguramente mucho antes que si fuera soft privativo, y se solucionara en 1 o 2 dias seguramente
    votos: 1, karma: -1
    por cesy el 20-06-2008 08:45
  25. #25   Algunos sois muy benevolentes cuando sabeis perfectamente que echariais pestes si fuera otro explorador.
    votos: 5, karma: 43
    por Sagrath el 20-06-2008 08:47
  26. #26   » ver comentario
    por --66261-- el 20-06-2008 08:48
  27. #27   Cuando hablamos de software quien usa la seguridad como arma arrojadiza es muy probable que se hiera a si mismo.
    votos: 0, karma: 8
    por sorrillo el 20-06-2008 09:10
  28. #28   juaaaaaassssss!!! para que digais que los bugs son cosa de microsoft
    votos: 7, karma: -27
    por piquet el 20-06-2008 09:18
  29. #29   "aunque para ello se requiere que el usuario haga clic en un enlace malicioso"

    Si el fallo de seguridad fuera en IE, esa frase seria:

    "basta con que tan solo el usuario haga clic en un enlace malicioso"

    Uso Firefox, pero no se por que la gente lo defiende con uñas y dientes.
    votos: 2, karma: 20
    por LiRiCO el 20-06-2008 10:16
  30. #30   #28 Decir eso es desconocer completamente la informática.

    Bugs hay en todas partes. Esperemos a ver en cuanto tiempo lo solucionan y entonces hablamos...
    votos: 2, karma: 26
    por zurt el 20-06-2008 10:18
  31. #31   #28 La diferencia es que con Firefox a las pocas horas el bug esta resuelto...si fuera un bug del Explorer a las "pocas semanas" estaría resulto.
    votos: 3, karma: 16
    por damian el 20-06-2008 10:21
  32. #32   #30 Amén. Es de cajón, cuantos más usuarios tenga un producto, y cuanto más nuevo sea, más bugs se encontrarán estadísticamente, sea Firefox, Internet Explorer, o sea Cheli sacando whiskey para el personal. Otra cosa claro, es como de rápido se resuelvan esos bugs.

    Es una máxima de la seguridad informática: usar cosas probadas y establecidas, y migrar siempre los sistemas con cuidado.
    votos: 2, karma: 25
    por bruno el 20-06-2008 10:22
  33. #33   » ver comentario
    por --66261-- el 20-06-2008 11:00
  34. #34   #33 No es lo mismo una vulnerabilidad en el propio Firefox que en una de sus extensiones, no tienen el mismo equipo por detrás.

    Por lo menos no calificaron el bug de "feature"
    votos: 0, karma: 8
    por zurt el 20-06-2008 11:18
  35. #35   #10 Paranoia, paranoia, SUPERPARANOIA!!!
    P.D.: Me voy a auto-otorgar el premio friki de hoy. Porque yo lo valgo XD.
    votos: 0, karma: 6
    por kamandula el 20-06-2008 11:19
  36. #36   Harán el Parche-Day??
    votos: 2, karma: 20
    por condemor el 20-06-2008 11:40
  37. #37   #1 Espero que sea un chiste

    #2 ¿Un mes después como las cuatro o cinco vulnerabilidades anteriores en el .13 .12 .11....?

    #4 Valiente "chiste" en una noticia como esta como se nota quien es fanboy por aquí...

    #7 Por supuesto, el sagrado zorro no puede tener imperfección alguna, siempre culpa de los demás. Amén de lo que dice #8

    #10 Sea como fuere el fallo está ahí.

    #15 Las estadísticas demuestran que el 99.9% de los conductores nunca han tenido ningún accidente con el coche en el garaje y el motor apagado. Los scripts son perfectamente válidos, no hay porque bloquearlos para ver una medio web, lo que hay que hacer es un producto no vulnerable.

    #24 y #31 ¿recordamos las últimas vulnerabilidades de firefox en sus versiones .13, .12 y .11 y el tiempo de respuesta que fue de... UN MES?

    En fin, firefox es un buen navegador, es el que uso pero no por ello estoy ciego para no ver cuando meten la pata.

    P.D: #36 XD espero que no se saturen los servidores
    votos: 2, karma: 23
    por kadmon el 20-06-2008 11:44
  38. #38   Se me olvidaba #9 : joer... es que es tan tan difícil hacer clic en los enlaces de una web que ¿quien va a hacer clic en un enlace, quien hace clics en los enlaces de las webs?, tan solo los kamikazes.

    Pf, vaya tontería acabas de decir.

    P.D: ¿y esos enlaces estarán señalados con letreros super mega grades del estilo "DANGER" "PELIGRO", "¡¡¡FISTRO PECADORRRR, NO TOCARRR!!!" o serán, como es lógico, como todos los enlaces?
    votos: 0, karma: 8
    por kadmon el 20-06-2008 11:51
  39. #39   Completamente de acuerdo con #37, solo que yo uso IE7, y la única razón por la que no me gustan los usuarios de Firefox es porque están ciegos... A ver si se hace un poquito más popular, y ya veréis como el número de errores críticos en Firefox irá superando al de IE, pero no por eso saldrán noticias de "IE es más seguro que FF"
    votos: 5, karma: 12
    por test el 20-06-2008 12:17
  40. #40   #39 "A ver si se hace un poquito más popular"
    Amen!
    votos: 0, karma: 8
    por zurt el 20-06-2008 12:31
  41. #41   #33 El problema es que en el caso de Microsoft las Semanas de Espera son lo normal...no algo casual. De todas formas en la página de Addons de Mozilla te dejan bien claro que los addons que no estén firmados no son responsabilidad suya. (como es logico)

    ¿Por cierto me puedes enviar algo más de información sobre esa vulnerabilidad de la que hablas?

    Un saludo.
    votos: 1, karma: 0
    por damian el 20-06-2008 13:35
  42. #42   Perdón, no se ha dicho qué es lo vulnerable, ni tampoco se muestran pruebas. Eso para mí es lo mismo que nada. Además, hace años que, veo siempre las mimas pelotudeces de "vulnerabilidades" que para reproducirlas hay que montar unos pollos bestiales. Entre IE y Firefox no hay comparación. IE es un software de juguete, demasiado inestable y que sí complica la seguridad personal de cualquiera sólo navegando páginas.

    Es una cuestión de instalar un Windows, y navegar una hora con el dichoso navegador y os daréis cuenta de la cantidad de basura que tendrá el ordenador en un mes instalado.
    votos: 0, karma: 6
    por mini-d el 20-06-2008 13:37
  43. #43   » ver comentario
    por --66261-- el 20-06-2008 13:41
  44. #44   #43 , #41 se entera de lo que quiere, lo demás parece desecharlo. Lo de "resuelto en unos días" hace siglos que no se ve.

    #42 ¿Prefieres que lo publiquen para que cualquiera pueda explotarlo antes de que esté arreglado?, ya se han dado los motivos por los que no se dan más detalles, a mi me parece lógico. No creo que Mozilla se ponga a investigar algo que es mentira.

    ¿cargar una página, clicar en un enlace es "montar un pollo de la hostia"?, te recomiendo que des unas vueltas por aquí, no te pasará nada pero es divertido (absténganse cualquier otra persona que no sea #42):
    lcamtuf.coredump.cx/ffoxdie_orig.html
    lcamtuf.coredump.cx/ffoxdie2.html
    http...  » ver todo el comentario
    votos: 2, karma: 24
    por kadmon el 20-06-2008 13:55
  45. #45   #25: Yo creo que es porque la principal diferencia (además de otras que leído) es que Firefox es libre, y como todo software de este tipo, "es nuestro" (nótese el entrecomillado). Además, Microsoft trata de ocultar sus bugs o desmentirlos aún siendo ciertos. ¿Ves ahora la diferencia?

    ¿Sabe alguien realmente qué está haciendo Internet Explorer, Opera, o cualquier otro software no libre, además de "lo que se ve"?. No, ni puede saberse. ¿Quién te dice que, por poner un ejemplo, no puedan estar recopilando tu información?

    El programador que haya creado un software libre de bugs, que tire la primera piedra.
    votos: 1, karma: -2
    por usr el 20-06-2008 15:20
  46. #46   #45 Si si... ¿y si la luna estuviese hecha de queso? //El núcleo.

    ¿sabes tu lo que está haciendo FF?, //No, pero me dirás "yo no pero otros pueden ver el código".

    ¿sabes lo que es un Snifer o, mas simple, un cortafuegos? ¿acaso no hay programas para analizar el tráfico y monitorizar lo que hace una aplicación?. Así que o estos programas "privativos" realizan conexiones cifradas para enviar "esos datos" o Sí se puede saber lo que envían o dejan de enviar. Y si la conexión está cifrada sabes que existe una conexión cifrada que no debería de estar ahí.

    Decimos lo mismo de siempre aunque sea mentira, todo por la patria.

    Lo de "es nuestro" suena a hinchas de un equipo de fútbol donde la objetividad brilla por su ausencia, es libre así que no importa lo que haga porque todo está bien.
    votos: 1, karma: 16
    por kadmon el 20-06-2008 16:53
  47. #47   No script + Adblock plus...
    votos: 0, karma: 6
    por botwalk el 20-06-2008 17:49
  48. #48   #46: Me esperaba una respuesta así. Sí, sé lo que es un sniffer y un cortafuegos y los he utilizado, por lo que también sé que hay forma de evitarlos.
    Y sí, otros lo pueden leer, o en el caso de que una empresa lo necesitase podría pagar a alguien para que lo viera, o incluso podría pagar a un programador para implementar X funciones que necesite en el navegador. Esta es una de las razones por las que que dije "es nuestro". No tiene nada que ver con lo de "todo por la patria". Es más, no se trata de ningún fanatismo ya que yo prefiero Konqueror a Firefox (consume menos y por supuesto está bien integrado con KDE), sólo que en algunas ocasiones necesito el segundo.

    Incr...  » ver todo el comentario
    votos: 0, karma: 6
    por usr el 20-06-2008 21:32
  49. #49   #48 Vale, empezaré a responderte por el final: De nada por mi voto que no te di, si quieres te voto negativo en los dos comentarios que todavía estoy a tiempo, tan solo por el suponer... así tus gracias no serían en vano ¿quieres?, porque en esta noticia todavía no voté a nadie negativo. Menos suponer...

    Bien, aclarado lo del negativo vengámonos al mundo real: Habrá formas de evitar un cortafuegos o un sniffer pero la probabilidad de que eso ocurra de verdad en un navegador "privativo" tiende a cero, por no decir nula. Puestos a ser paranoicos desconfiemos de los routers pues en su firmware puede haber "algo" que envíe todas nuestras contraseñas a los malotes de los fa...  » ver todo el comentario
    votos: 0, karma: 8
    por kadmon el 20-06-2008 22:13
  50. #50   Mi router es un Linksys y su firmware es libre. :-p Incluso hay proyectos que lo han modificado, como DD-WRT (más completo que el original y válido para más routers), por ejemplo. es.wikipedia.org/wiki/DD-WRT

    Mis conocimientos no alcanzan ese nivel.

    Vale, pondré otro ejemplo: Alguien al leer el código descubre una vulnerabilidad. Informa de ella y otro persona puede enviar el código necesario para subsanarlo sin esperar a que los propios desarrolladores lo solventen.
    Esto no es exclusivo de Firefox, sino del software libre en general. Si te das una vuelta por los bugs en Launchpad (por pner un ejelo que conozco) verás que ocurre a menudo. Todos podemos contribuir a mejorar un s...  » ver todo el comentario
    votos: 0, karma: 6
    por usr el 20-06-2008 23:22
  51. #51   #50 "Mis conocimientos no alcanzan ese nivel." Yo diría que evitar que se analice el tráfico que pasa por un ordenador no comprometido y que está entre tú e Internet a no ser que este no esté cifrado es imposible y si está cifrado ya ves algo cifrado que no debiera estar ahí. Pero podría equivocarme por eso te pregunté. Entonces lo de que no se puede saber lo que hacen otros es mentira.

    Lo del router era un ejemplo, de todas formas buena salida pero a ver como te libras de los ISPs porque todos tus datos pasan por ellos.

    La gran mayoría de los fallos se descubren probando y no leyendo el código dada la gran cantidad de líneas que tiene este, véase por ejemplo todos los agujer...  » ver todo el comentario
    votos: 0, karma: 9
    por kadmon el 21-06-2008 10:24
comentarios cerrados

menéame