Firefox 3.5 tiene una vulnerabilidad muy crítica para la que por ahora no hay parche, según ha informado Secunia que ya ha sido parcheada en la versión de desarrollo. El fallo, que puede afectar a otras versiones del navegador, permite a los atacantes la ejecución de código arbitrario en la máquina afectada.
La vulnerabilidad se debe a un error en la gestión al procesar código JavaScript. Para explotarlo, tan sólo hay que utilizar etiquetas HTML para causar una corrupción en la memoria, abriendo la puerta a la ejecución de código arbitrario.
La solución provisional es sencilla, afortunadamente, en tanto en cuanto Mozilla no libere el parche Firefox 3.6. En la sección de configuración de Firefox (a la que se accede en about:config), cambiar el valor de la entrada javascript.options.jit.content a “false”.
Editado: RSB y Jorge Ces nos avisan de que la vulnerabilidad sí que estaba resuelta, incluso antes de ser publicada, en la versión de desarrollo de Firefox 3.6.
Ver 30 comentarios
30 comentarios
maverick
Me gustaria saber en este momento donde estan todos los foristas que atacaron a Internet Explorer y negaron que esto sucediera en firefox cuando se publico "Vulnerabilidad crítica en ActiveX de Internet Explorer 8".
Reconozco que yo tambien uso firefox por necesidad mas no por gusto y sinceramente pienso Internet Explorer no es tan malo como lo pintan y firefox no es tan bueno como se cree. Ningun navegador esta exento de este tipo de cosas.
Alkar
A ver... cualquier navegador es un punto débil, con mucho riesgo de que se detecten agujeros de seguridad. Lo importante es la gravedad de esos fallos de seguridad y la rapidez en solucionarlos.
La crítica (razonada) a Internet Explorer es que en cuanto a número de fallos de seguridad, quizás sean menos que en Firefox y otros navegadores, pero en cuanto a gravedad de los mismos y a velocidad de reparación, suele (y digo "suele") ir por detrás.
Eso no quiere decir que en Firefox o Chrome no se detecten fallos graves. Pero por ser tener su código fuente disponible, es más sencillo detectarlos y suelen corregirse antes (¡suelen!).
Y de la última vulnerabilidad crítica en Internet Explorer de la que hablamos, Microsoft no publicó parche en el momento, tan sólo había un apaño igual que ahora.
The_unforgiven_too
En un principio parece que FF 3.0 no es vulnerable a éste problema, ya que afecta al nuevo motor de Javascript que se estrenó en 3.5. http://blog.mozilla.com/security/2009/07/14/critic...
De todas formas, la versión actual de 3.6 ya tenía solucionado éste problema y se espera que en las próximas horas también lo esté en 3.5.
De todas formas, para el que tenga miedo, NoScript y listos, yo lo tengo como los condones, nunca salgo de casa sin él :D
lesan
38# Como se nota que hacer copias de seguridad sigue siendo el talón de Aquiles del usuario. Todo el mundo piensa que nunca le pasará nada. Y ya no solo por el SO mediocre, si no también por el disco duro, fuente de alimentación etc etc.
Que fácil echarle la culpa a otros cuando la culpa es toda nuestra por nuestra ignorancia. Y lo peor es que esto ocurre con las empresas pequeñas muy a menudo, pensando que es ordenador es indesdructible y que nunca le pasará nada.
Alkar
Gracias por los avisos, ya está actualizada la noticia.
metalagent
para @maverick: cuando ms tarda semanas en resolver algunos de sus errores una vez se hacen públicos y mozilla a sacado el parche antes incluso de extenderse la vulnerabilidad no creo que tu comentario no tenga ninguna validez. Lo mismo puedo preguntar yo ¿donde se menten los ultradefensores de ms (que algunos parece que trabajan para ellos) cuando tienen fallos que cuestan dinero a las empresas que confían en ellos?
@gustozo: el parche no puede salir antes que el fallo, pero tú seguro que te has enterado con muy pocos minutos de diferencia y no te hubiera dado tiempo a explotarlo ¿que cantidad de usuarios actualizaron a ff3.5 y cuantos siguen con ie6 e ie7 sin parchear?
@EmMag: cuando tienes el codigo fuente es infinitamente más fácil encontrar fallos, al soft de ms lo revientan a ciegas. cuestión de enfoques ¿no crees?
alvaro
Nunca me gustó la versión 3.5 de firefox, demasiados fallos, tardaba más en abrir, consume más memoria, etc. Gracias a esa versión ahora estoy al 100% en Chrome
Grojnak
#9, ¿cómorl? http://www.muycomputer.com/Actualidad/Noticias/Que...
Makejo D
Nunca habia leido tantos comentarios basura en un solo tema jajajajajaj...
1- Justificando los agujeros de IE 2- Mejor tener mil virus y que sea bonito (Windows es bonito???) 3- Que el 99% "Prefiere" Windows. Definan PREFERIR a ver si le ven algo de sentido... Yo diria que es costumbre e ignorancia. 4- Que me voy pa Opera/Chrome/Safari, jajajaja... Si esos nunca tienen errores no deberian actualizarse tan a menudo
No defiendo a firefox ni lo justifico... pero por Dios, el que usa firefox tiene sus razones y tomo su decision, el que usa opera tambien tomo su decision... El que usa IE no es por decision, puede ser por costumbre e ignorancia... Un porcentaje muy bajo es por decision propia.
Yo como webmaster tengo todos los navegadores mas comunes y otros no tan comunes... Prefiero firefox por sus extenciones... Si quiero hacer algo rapido abro a Chrome, pero si voy a tardar un poco mas navegando uso Opera... Decisiones, eso es todo. Dejen de estar discutiendo siempre por lo mismo.
lesan
Pero es que sigue sin haber solución. No creo que la solución sea instalar una versión beta del navegador. En principio se liberará pronto la 3.5.1, con la solución de esto. Pero para los que tenemos la 3.5 no tenemos mas remedio que seguir con el fallo.
El asunto es que saquen YA un parche, que después se quejan de la lentitud de Microsoft. Yo creo que se les ha salido del tiesto la nueva versión de javascript, porque sabiendose el error hace ya varios dias y no hay versión para los 3.5 que lo arregle.
Al final son tan buenos unos como otros.
lesan
14# Ya tardaba alguien en sacar que son los mas mejores del mundo entero. Ahora te puedes poner una medalla y sonreir feliz por ser mejor que los demas.
lesan
17# Esa comparativa no vale. Esta hecha sobre navegadores en evolución, sin ser los estables finales. NO esta el Explorer y encima es bajo condiciones determinadas.
Si pruebas Chrome, verás que el consumo global de RAM disminuye. Firefox come RAM que da gusto, y lo que es peor, no lo suelta NUNCA. Siempre se queda en memoria parte de las pestañas cerradas.
david
Yo no pienso que el navegador sea mediocre ni malo, solo creo que cubrir todas las areas que un software de este abarca es un trabajo muy muy grande y para nada facil. Los que desarrollamos software sabemos. No me imagino las dificultades que tienen los equipos de open office y bueno es que crear un software que se popularice tanto es cada vez mas dificil de mantener. Chrome es Chrome por que no tienen tanta historia y eso les facilito el diseño e hicieron realmente un buen trabajo, tambien el hecho de que no hallan extenciones les ayuda mucho (problemas menos) Yo creo que es de valorar que firefox exista si no fuera asi posiblemente el IE nunca ubiera cambiado a lo que tenemos en el IE 8
lesan
29# No es sensacionalista la noticia. Existe un grave fallo de seguridad y que solo puede ser parcheada manualmente y de manera bastante complicada.
En blogs especializados hablan de la noticia y en bugzilla aparece reflejado esta vulnerabilidad. De hechjo desde Mozilla se habla de que la semana que viene saldrá de manera imprevista la versión 3.5.1 para solventar este BUG y otros de menor gravedad.
Y gracias por darnos tu opinión de que Linux es mejor. Mira, yo opino que OpenSolaris es mil veces mejor. Una pena que tenga poco software, pero ya le gustaría a Linux ser la mitad de bueno :P
jayjayjay_92
Yo creo que UNA vulnerabilidad grave (que es la unica que recuerdo y lo uso desde el 1.5) se le puede pasar.
A usar opera y chrome una semana y ya está.
Que no tiene justificación, pues no la tiene pero que no me vengan los defensores de IE diciendo subnormalidades porque IE tiene varias igual de graves al año.
@claudiofm: La parcheada es la 3.6 en beta
lesan
35# En cierta manera tienes razón. Pero solo con una vulnerabilidad MUY GRAVE (que han tenido bastantes mas, pero bueno) y no saben que hacer. Es como si nunca se lo hubieran esperado. Y lo que es peor, los problemas que esta ocasionando su motor de javascript y eso si que va a dar problemas a largo plazo.
Chrome/Webkit se le ha adelantado en optimización y no logran salir del pozo, improvisando de malas maneras. Encima en estabilidad es superior y en cuanto exista plugins, todos irán de cabeza al navegador de Google.
Es una pena el atraso que hay en Mozilla, porque siempre me ha encantado su navegador. Pero se esta quedando rezagado a otros navegadores (Opera/Chrome)
lesan
40# El Explorer no es el centro del mal, y tampoco windows. Mas bien el desconocimiento y la ignorancia. Una persona que entre en páginas seguras con explorer 6, puedes estar bien seguro que no le pasará nada con su ordenador. donde me incluyo durante años atrás.
Otro tema es el desconocimiento del soberbio. Nos creemos que lo sabemos todo, pero despues ejecutamos el archivo de fotos que recibimos en el correo con el nombre MujeresEnBolas.exe y quedamos infectados por la madre de todos los troyanos :P
lesan
42# Gracias por el aviso. Ya aparece la nueva versión de Firefox en la portada de mozilla y en el actualizador automático del mismo :)
jayjayjay_92
#37 "35# En cierta manera tienes razón. Pero solo con una vulnerabilidad MUY GRAVE (que han tenido bastantes mas, pero bueno)"
Vamos a ver, dices que en cierto modo tengo razón y luego pones lo que yo?xD, he dicho una grave, que afecten a la estabilidad y no a la seguridad no es tan grave.
"y no saben que hacer. Es como si nunca se lo hubieran esperado."
No tienen ni puta idea, se descubre el 14 y el 16 está solucionada, pero no, ni puta idea, insisto ni puta idea.
PD: Estoy de acuerdo en que desde el 2 ha ido a peor...
The_unforgiven_too
Firefox 3.5.1 ya está disponible, debería saltaros la actualización a todos.
Han final han tardado dos días, no creo que esté tan mal.
jayjayjay_92
@47 Tambien hay gente qe incomprensiblemente prefiere IE conociendo alternativas, vale, poca, pero la hay
lesan
51# Imaginemos una persona que se compra un PC y viene con Vista y con las actualizaciones le viene con IE8.
Se dedica a navegar, ver su correo, la pagina de su ciudad, alguna de viajes, etc etc. Tipicas páginas.
Si esta persona ve que puedes entrar y ver páginas sin problemas ¿Porque va a cambiar? ¿Porque va a probar algo nuevo si lo que tiene le funciona y hace lo que el quiere?
A mi me ha pasado de aconsejar el Firefox y la gente después me dice que porque es mejor si ven las paginas mal (bancos, movistar y su "grandiosa" pagina). Por mucho que expliques que la culpa es de los webmasters y de que explorer arrastra un estandar no estandar, les da igual. Quieren ver sus paginas y punto.
Y así esta el campo
SilverJM
Justamente esta semana pensaba instalarme el FF para que mi hermana me deje de joder, ahora voy a esperar que se solucione esta vulnerabilidad. Gracias por el aviso.
PD: No era que Mozilla solucionaba antes los problemas de seguridad? Al menos MS publicó un parche.
Ivan Pacheco
Fedora 11 + Opera 9.64 / Mozilla Firefox 3.5 = 0 Preocupaciones.
Para qué me preocupo si me imagino que ese 'código malicioso' solo se ejecuta en Windows como de costumbre.
SilverJM
@17
No sé si no valdrá la comparativa, pero de lo que estoy seguro es que chrome anda 324653 mas rápido que firefox. También que es 314354 veces mas seguro. El consumo de RAM no es algo vital para la mayoría de los usuarios además de que no es tampoco cosa de otro mundo.
timeout
El fallo no esta solucionado, lo esta en una verion de desarrollo la 3.6 yo tengo la 3.5 version "estable" por tanto mi version del navegador es insegura para este tipo de ataque. de momento llevan mas de una semana sin solucionar el fallo
SilverJM
Con respecto a Firefox yo creo que hace un tiempo se está volviendo un navegador mediocre, y hace tiempo lo dejé de usar.
@21 No creo que una persona sea estúpida por tener preferencias distintas de las tuyas.
Y aunque no te creas, la MAYORÍA de las personas no son informáticos y prefieren el windows "inseguro" a cualquier distro de linux, cualquiera puede darse cuenta de eso.
SilverJM
@25 mejor informate antes de tachar a una noticia amarillista. http://www.zonafirefox.net/2009/07/la-vulnerabilid...
El "parche" lo tiene que hacer cada uno y es dehabilitando no se que cosa, y hay muchos que no se enteraron así que están navegando con esta vulnerabilidad, que ya está corregida pero para la 3.6 en desarrollo.
PD: la noticia es puramente informativa además de que alkar según sé es mas partidario del software libre por lo que no creo que haga una noticia en contra de el.
SilverJM
no.. la solución para la 3.5 es deshabilitando el java. No está el parche en la que todos se bajaron hace unos varios días.
SilverJM
"por último se creó el parche para la versión 3.5 que puede verse aquí."
Y los que no actualizan con el parche? a eso iba...