BandaAncha.eu

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 👇 este 📰 artículo ⏎
  • 🔍 en 💬 foros ⏎
Regístrate Regístrate Identifícate Identifícate
  • 📰 Artículos

Grave vulnerabilidad en Mozilla / Firefox

alejandrosantos

A la grave vulnerabilidad encontrada en Internet Explorer hace unos días se une esta de Mozilla / Firefox, que afectaría a las versiones de Mozilla 1.7 para Linux y 1.7.1 para Windows, Firefox 0.9.1 para Linux y 0.9.2 para Windows. Consiste en la falsificación de la interfaz de usuario. El objetivo parece claro, ataques de 'phishing' (robo de información bancaria, datos de cuentas...).

El problema consiste en que Mozilla y Firefox no restringen que los sitios web incluyan ficheros XUL (XML User Interface Language) sobre el que están construidas sus interfaces por lo que barras de tareas, certificados SSL, barra de direcciones, etc. pueden ser falseados.

El fallo es grave y a poco que tengas cambiada la UI de tu Mozilla/Firefox quedará delatado. Esa es una de las soluciones a la espera de un parche, instalar un theme diferente y comprobar el certificado de seguridad, haciendo un click sobre el candado de la parte inferior izquierda. Ese certificado debe contener un número de serie, fecha de caducidad, quién lo otorga y compañía otorgada. Otras veces no está totalmente construida la barra de los navegadores por lo que haciendo click sobre About Mozilla no aparecerá nada.

Enlaces relacionados:
Barrapunto
Secunia
Primera aparición en Bugzilla
Ejemplos de spoof

Prog también nos enviaba el aviso.

💬 Comentarios

1
LoRdShAn

Para sorpresa lanzo a mozilla y me sale que necesita actualizarse urgentemente, le doy permiso y yasta... Andara el windows update? xD

Saludos.

P.D.: No se si esta arreglado el explorer ya que no lo uso pero viendo la politica de actualizacion de microsoft va a ser que para navidades.

BocaDePez
BocaDePez

Se ha hablado mucho en /. de este fallo. Mas que un error en si mismo es una "ida de perola" total por parte de los desarrolladores de mozilla. Este error había sido encontrado y clasificado hace ya 5 años. Los desarrolladores de escusan diciendo que hace 5 años la red no era ni mucho menos como la de ahora, y algo como un ataque de 'phishing' era impensable en aquella época, y por aquella época también importaba mucho más tener un navegador funcionando a corregir cosas como estas. Asi ha pasado y esto ha caido en el olvido... hasta que un tio lo ha encontrado y sacado a la luz.
Cabe señalar como curiosidad, que el error sale el mismo día que Mozilla ofrece 500$ a quien encuentre una vulnerabilidad grave en alguno de sus productos.
Por cierto, no se quién es más rápido, si la gente poniendo este tipo de avisos o la gente de Mozilla solucionándolos:

🗨️ 2
yud445

Que yo sepa, esas nuevas versiones no cambian nada respecto a la ejecución de XULs.

🗨️ 1
BocaDePez
BocaDePez

"The Mozilla applications have been updated to fix several security issues, including some vulnerabilities recently mentioned in the press.

Así da gusto..."

yud445

Qué manía, ¡que no es una vulnerabilidad! Si yo ahora hago un programa para Linux que pide la contraseña de root, el usuario la da, y hago que ese programa le borre todo su disco duro... ¿tiene Linux una vulnerabilidad?

🗨️ 3
BocaDePez
BocaDePez

Claro que es una vulnerabilidad ya que permite producir efectos indeseados que usados de forma maliciosa pueden servir para producir paginas engañosas.

Es un error de concepto heredado desde hace muchos años, podriamos decir que el hecho de que los activex no corran en una SandBox como java tambien es un error de concepto, por ello deja Internet Explorer de ser vulnerable?.

A mi tambien me simpatiza Mozilla y hace años que uno uso Explorer, pero no seamos mas papistas que el papa

🗨️ 2
raposu

la verdad que yo no creo que sea una *vulnerabilidad*, es simplemente una feature (o como se traduzca) utilizada para llegar a un fin que podríamos calificar como "malo".

🗨️ 1
jcomas

feature=característica

BocaDePez
BocaDePez

Por lo visto creo que ya corrigen todo eso.

Que alguien me corrija si me equivoco.

Saludos.

alejandrosantos

The Mozilla applications have been updated to fix several security issues, including some vulnerabilities recently mentioned in the press.

Así da gusto...

🗨️ 5
BocaDePez
BocaDePez

no hay forma de actualizar mi firefox 0.92 sin tener que desinstalarlo, bajarme el firefox 0.93 entero e instalarlo de nuevo? xq anda que vaya sistema de actualizacion...... en la web solo veo para bajar la version completa, no el parche.
no es por nada, pero es mucho más incomodo

🗨️ 4
alejandrosantos

Yo tengo 0.9.2 y no es que no pueda actualizarlo, es que al buscar actualizaciones me dice que está disponible la 0.9.1 (?)

BocaDePez
BocaDePez

Osea que no se implementa encima de la version vieja??

Primero se tiene que desinstalar la version vieja y despues instalara la version nueva???? Je pos se hace cap problema. Me gusta mucho este navegador y pienso mantenerlo mucho tiempo.

🗨️ 2
BocaDePez
BocaDePez

que vale, se tardara 2 minutos, pero no es nada comodo andar desinstalando y volviendo a instalar. y los themes? las extensions? otra vez tb a volverlas a instalar?? los plugins para flash otra vez a instalarlos??

si el navegador mola, pero joder, que pongan un sistema de actualizacion medianamente automatico. seria la mejor forma de quedarse con todos los nuevos usuarios que dan el salto desde IE.

🗨️ 1
BocaDePez
BocaDePez

yo lo he instalado encima del anterior, en Linux y en Windows, sin desinstalar antes. Y estoy escribiendo ésto con él y no he tenido ninguna pega.

Maestro

Por que da la impresion de que cada vez que se descubre una vulnerabilidad se va a acabar el mundo o ponemos a parir a windows o alguna aplicacion para el mismo.

Pues en este caso es una aplicacion que se usa mas en LINUX que en WINDOWS que se sepa BIEN CLARO, el 90% de los usuarios de windows usan internet explorer.
(link roto)

Pese a ello yo me pregunto al margen de linux/windows, ALGUIEN HA SUFRIDO ALGUN DAÑO GRAVE POR LA EXPLOTACION DE ALGUNA VULNERABILIDAD ALGUNA VEZ?

Creo que la respuesta del 99.9% de los usuarios seria NO, ¿por que?, muy sencillo, los bugs descubiertos ponen en peligro sistema de aplicaciones servidor, web, correo, voz, IP, etc, ahi es donde esta el peligro si aprovechan una vulnerabilidad para atacar ese equipo y obtener privilegios de ROOT o acceder a los ficheros con informacion sensible (bancos, tarjetas, direcciones, ataque DOS, etc).
Pero, ¿ quier va a ponerse a explotar un bug en la maquina 217.127.158.75?, que es un PC de un chaval con ADSL que se pasa el dia descargando con el kazaa, no hay nada que sacar en claro, nada que robar, ningun merito el romper ese sistema y si algun personaje lo hace usando una vulnerabilidad o bien un virus o codigo malicioso de una web lo hace lo maximo que puede pasar es que se le bloquee el Pc al niño )PAPA!!! SE ME HA PETADO EL PC....), pulsamos el boton maravillos y VOILA!!

Con esto quiero decir que si bien todos los dias aparecen fallos a la mayoria de nosotros nos deberia de preocupar mas bien poco, donde esta el problema es en maquinas NON STOP que no pueden permitirse una caida o un reinicio cuando les den caña.
Ademas cuanto se tarda en aplicar un parche y solucionarlo y no conteis que tardan semanas en salir porque no es cierto el 90% de los parches salen cuando tienen que salir y algunos se retrasan ligeramente.

Ademas deberiamos hacer una reflexion, a quien benefician paginas donde se publican los BUGS, BACKDOORS y EXPLOITS a los desarroladores del software afectado o a los capullos que lo van a usar contra nosotros, evidentemente si nadie lo supiera mejor para todos, adie lo usaria.

🗨️ 8
alejandrosantos

Yo creo que no monitorizas tu tráfico porque mira que hay idiotas escaneando e intentando entrar en rangos de IPs aleatorios. Y en el caso que nos ocupa, si creo que sea posible que algún desaprensivo se le ocurra usarlo mientras entro a ver mi cuenta. Si tienes un acceso total, VOILA, transacción a otra cuenta abierta con nombre falso. Se retira el dinero con tarjeta y que te den. Pero parece que ya está arreglado

Excalipollas

Ante todo, haaarlllll :)

Me permito disentir contigo en lo que dices en el último párrafo. El hecho de publicar los bugs obliga a los desarrolladores a parchear el producto. Si estas páginas no existiesen, no se harían los parches, y algún listillo que encontrase por casualidad este bug podría liar una de cohones. Por supuesto, las páginas que se dedican a servir virus-troyanos y código completo para aprovechar exploits merecen un capítulo aparte. Pero son los 'gajes' de Internet. La libertad de expresión tiene una serie de ventajas por sí misma, aunque lo de estas páginas ponga la situación al límite.

Chau.

GreatMa

Yo uso Firefox en Windows y Linux desde hace tiempo (cuando se llamaba Firebird, por ejemplo) y antes de éste Navigator y Opera.
Los usuarios de Linux tienen muchas opciones para escoger navegador, los de Windows están machacados por la api$ionadora Micro$oft. De todas formas, que IE haya bajado hasta el 90% es motivo de alegría para los usuarios y de preocupación para el señor Puertas y para los diseñadores petardos de páginas web, esos que no cumplen los estandares internacionales y que sólo diseñan para el IE.

🗨️ 5
neex

"diseñadores petardos de paginas web" ... Ahi les has "dao". A cualquiera le llaman webmaster hoy en dia. Hace ya tiempo que cuando veo en alguna web aquello de "se ve mejor con internet explorer" o similar automaticamente la abandono. Deberia estar prohibido por ley "optimizar" webs para el IE :-P

🗨️ 4
BocaDePez
BocaDePez

en mi empresa usamos IE porque los petardos (sólo hay uno que medio sabe lo que hace) que diseñan nuestras webs tienen que hacer que sea fácil y útil para los petardos de usuarios que tienen. También es la expresión de una necesidad, el html para aplicaciones web con datos e interactividad se está quedando corto y si Microsoft ha abierto la puerta para las mejoras de usabilidad, abierta queda.
Ahora, que hagan un html estándar sin chapuzas microsofteras y que responda a las necesidades del vulgo. Quiero usar Firefox en mi trabajo.

🗨️ 3
BocaDePez
BocaDePez

no demasiado. Además, el HTML es un simple lenguaje de marcas, no da ninguna utilidad. Con CSS ya aparecen fallos en iE. Lo que empieza a dar utilidad es el script de cliente (javascript, vbscript...) y si se sigue el standar se puede hacer todo lo que haga falta (dentro de un entorno web) Para utilidades "de verdad" mejor trabajar en el servidor que es lo que tienes bajo control.

Ya existen estándares de HTML, javascript y demás. Ahora solo falta que los que hacen páginas y desarrollan navegadores los respeten.

🗨️ 2
BocaDePez
BocaDePez
BocaDePez
BocaDePez

¿Y la version de Mac no está afectada por este problema?

v0rt3x

...constructores buenos y constructores petardos, y...

🗨️ 1
BocaDePez
BocaDePez

cual es el mejor mozilla mozilla suit o firefox

1