Banda Ancha EU

Información independiente
sobre fibra, móvil y ADSL

hosting en interdominios

Cerrado

Grave vulnerabilidad en Mozilla / Firefox

A la grave vulnerabilidad encontrada en Internet Explorer hace unos días se une esta de Mozilla / Firefox, que afectaría a las versiones de Mozilla 1.7 para Linux y 1.7.1 para Windows, Firefox 0.9.1 para Linux y 0.9.2 para Windows. Consiste en la falsificación de la interfaz de usuario. El objetivo parece claro, ataques de 'phishing' (robo de información bancaria, datos de cuentas...).

El problema consiste en que Mozilla y Firefox no restringen que los sitios web incluyan ficheros XUL (XML User Interface Language) sobre el que están construidas sus interfaces por lo que barras de tareas, certificados SSL, barra de direcciones, etc. pueden ser falseados.

El fallo es grave y a poco que tengas cambiada la UI de tu Mozilla/Firefox quedará delatado. Esa es una de las soluciones a la espera de un parche, instalar un theme diferente y comprobar el certificado de seguridad, haciendo un click sobre el candado de la parte inferior izquierda. Ese certificado debe contener un número de serie, fecha de caducidad, quién lo otorga y compañía otorgada. Otras veces no está totalmente construida la barra de los navegadores por lo que haciendo click sobre About Mozilla no aparecerá nada.

Enlaces relacionados:
Barrapunto
Secunia
Primera aparición en Bugzilla
Ejemplos de spoof

Prog también nos enviaba el aviso.

Los comentarios más recientes se muestran primero. Haz click sobre un comentario para desplegar/plegar.
  • Cerrado

    Ains, que no

    Qué manía, ¡que no es una vulnerabilidad! Si yo ahora hago un programa para Linux que pide la contraseña de root, el usuario la da, y hago que ese programa le borre todo su disco duro... ¿tiene Linux una vulnerabilidad?

    • Cerrado

      BocaDePez BocaDePez
      0

      Claro que es una vulnerabilidad ya que permite producir…

      Claro que es una vulnerabilidad ya que permite producir efectos indeseados que usados de forma maliciosa pueden servir para producir paginas engañosas.

      Es un error de concepto heredado desde hace muchos años, podriamos decir que el hecho de que los activex no corran en una SandBox como java tambien es un error de concepto, por ello deja Internet Explorer de ser vulnerable?.

      A mi tambien me simpatiza Mozilla y hace años que uno uso Explorer, pero no seamos mas papistas que el papa

  • Cerrado

    Alguien ha sufrido alguno de estos "CLAMOROSOS FALLOS"

    Por que da la impresion de que cada vez que se descubre una vulnerabilidad se va a acabar el mundo o ponemos a parir a windows o alguna aplicacion para el mismo.

    Pues en este caso es una aplicacion que se usa mas en LINUX que en WINDOWS que se sepa BIEN CLARO, el 90% de los usuarios de windows usan internet explorer.
    http://www.cen.uiuc.edu/bstats/latest.html

    Pese a ello yo me pregunto al margen de linux/windows, ALGUIEN HA SUFRIDO ALGUN DAÑO GRAVE POR LA EXPLOTACION DE ALGUNA VULNERABILIDAD ALGUNA VEZ?

    Creo que la respuesta del 99.9% de los usuarios seria NO, ¿por que?, muy sencillo, los bugs descubiertos ponen en peligro sistema de aplicaciones servidor, web, correo, voz, IP, etc, ahi es donde esta el peligro si aprovechan una vulnerabilidad para atacar ese equipo y obtener privilegios de ROOT o acceder a los ficheros con informacion sensible (bancos, tarjetas, direcciones, ataque DOS, etc).
    Pero, ¿ quier va a ponerse a explotar un bug en la maquina 217.127.158.75?, que es un PC de un chaval con ADSL que se pasa el dia descargando con el kazaa, no hay nada que sacar en claro, nada que robar, ningun merito el romper ese sistema y si algun personaje lo hace usando una vulnerabilidad o bien un virus o codigo malicioso de una web lo hace lo maximo que puede pasar es que se le bloquee el Pc al niño )PAPA!!! SE ME HA PETADO EL PC....), pulsamos el boton maravillos y VOILA!!

    Con esto quiero decir que si bien todos los dias aparecen fallos a la mayoria de nosotros nos deberia de preocupar mas bien poco, donde esta el problema es en maquinas NON STOP que no pueden permitirse una caida o un reinicio cuando les den caña.
    Ademas cuanto se tarda en aplicar un parche y solucionarlo y no conteis que tardan semanas en salir porque no es cierto el 90% de los parches salen cuando tienen que salir y algunos se retrasan ligeramente.

    Ademas deberiamos hacer una reflexion, a quien benefician paginas donde se publican los BUGS, BACKDOORS y EXPLOITS a los desarroladores del software afectado o a los capullos que lo van a usar contra nosotros, evidentemente si nadie lo supiera mejor para todos, adie lo usaria.

    • Cerrado

      Yo uso Firefox en Windows y Linux desde hace tiempo (cuando…

      Yo uso Firefox en Windows y Linux desde hace tiempo (cuando se llamaba Firebird, por ejemplo) y antes de éste Navigator y Opera.
      Los usuarios de Linux tienen muchas opciones para escoger navegador, los de Windows están machacados por la api$ionadora Micro$oft. De todas formas, que IE haya bajado hasta el 90% es motivo de alegría para los usuarios y de preocupación para el señor Puertas y para los diseñadores petardos de páginas web, esos que no cumplen los estandares internacionales y que sólo diseñan para el IE.

      • Cerrado

        6

        "diseñadores petardos de paginas web" ... Ahi les has "dao".…

        "diseñadores petardos de paginas web" ... Ahi les has "dao". A cualquiera le llaman webmaster hoy en dia. Hace ya tiempo que cuando veo en alguna web aquello de "se ve mejor con internet explorer" o similar automaticamente la abandono. Deberia estar prohibido por ley "optimizar" webs para el IE :-P

        • Cerrado

          BocaDePez BocaDePez
          0
          en mi empresa usamos IE porque los petardos (sólo hay uno que…

          en mi empresa usamos IE porque los petardos (sólo hay uno que medio sabe lo que hace) que diseñan nuestras webs tienen que hacer que sea fácil y útil para los petardos de usuarios que tienen. También es la expresión de una necesidad, el html para aplicaciones web con datos e interactividad se está quedando corto y si Microsoft ha abierto la puerta para las mejoras de usabilidad, abierta queda.
          Ahora, que hagan un html estándar sin chapuzas microsofteras y que responda a las necesidades del vulgo. Quiero usar Firefox en mi trabajo.

          • Cerrado

            BocaDePez BocaDePez
            0
            no demasiado. Además, el HTML es un simple lenguaje de…

            no demasiado. Además, el HTML es un simple lenguaje de marcas, no da ninguna utilidad. Con CSS ya aparecen fallos en iE. Lo que empieza a dar utilidad es el script de cliente (javascript, vbscript...) y si se sigue el standar se puede hacer todo lo que haga falta (dentro de un entorno web) Para utilidades "de verdad" mejor trabajar en el servidor que es lo que tienes bajo control.

            Ya existen estándares de HTML, javascript y demás. Ahora solo falta que los que hacen páginas y desarrollan navegadores los respeten.

            • Cerrado

              BocaDePez BocaDePez
              0
              Creo que Microsoft ha cambiado de actitud con respecto a los…

              Creo que Microsoft ha cambiado de actitud con respecto a los estándares Web. Por ejemplo, redactaron la especificación de SOAP junto con Bea Systems para su posterior normalización en el W3C. Microsoft también ha puesto un gran énfasis en XML.

              Decís que Microsoft no soporta estándares. Las islas de datos XML (usar datos XML desde HTML), son estándar y soportadas por IE y no por Firefox.Los filtros CSS son éstandar y no están soportados por Firefox. Algunos selectores CSS no funcionan en Firerfox (text-shadow, por ejemplo), y otros no funcionan como debieran (que alguien pruebe a hacer un posicionamiento relativo de algún elemento, o a darle ancho a algún selector span, funciona ampliamente...).

              También puedo decir lo mismo de IE. No realiza validaciones de XHTML. Sólo reconoce XHTML si guardamos algún documento como XHTML (y no si lo enviamos como tipo MIME text/xhtml+xml desde un servidor). Más cosas, el atributo accesskey de los controles para formularios, cero patatero. En fin le faltan cosas, pero Firefox no es la panacea.

              De todas formas creo que el modelo de desarrollo de Firefox, y del software libre en general, es más adecuado. Se actualiza constantemente y es innovador. Sé que si alguna característica no está implementada actualmente pronto lo estará. Pero también creo que Microsoft acabará cumpliendo los estándares. El mundo es cada vez más hetereogéneo.

              Sobre las páginas optimizadas para IE, esto debe leerse como "He creado mi página con IE y se vee bien, si usas otro navegador: ajo y agua". Totalmente de acuerdo, hoy en día es webmaster cualquiera.

              Sobre el uso de herramientas de creación web, no las uso pero estoy de acuerdo con ellas. Aunque generen mucho código te permiten ser más productivo. Eso lo que le interesa a una empresa, hacer más proyectos en la menor cantidad de tiempo. Y como decía el tío Billy: "Si no lo puedes hacer bien, hazlo al menos bonito".

              Estas herramientas al tener una periocidad anual, normalmente tienen un desfase tecnológico de un año. Así que es dificil estar a la últisima utilizándolas. Pero también cabe preguntarse cada cuanto actualizan los usuarios sus navegadores, o cada cuanto tardan los equipos de desarrollo en implementar los estándares. Por ejemplo, la especificación de CSS1 es de 1996/1997 y no fue totalmente implementada por ningún navegador hasta 2000. Por cierto, estos navegadores fueron Opera e IE, Netscape no puso ningún esfuerzo en CSS (CSS Samurai). Y también el nuevo estándar XHTML 2.0, último Borrador de Trabajo del 2002, no está nisiquiera parcialmente implementado por ningún navegador. Esto es más comprensible puesto que se trata de un Borrador.

              Y nada más. Keep webing!

            • Cerrado

              pos si. Si el explorer no se pasara los estandares por el…

              pos si. Si el explorer no se pasara los estandares por el forro de los cojones...

              P.s.: Lo que pasa es que hay mucho como-mola-el-dreamweaver del carallo diseñando ;-p

    • Cerrado

      Ante todo, haaarlllll :) Me permito disentir contigo en lo…

      Ante todo, haaarlllll :)

      Me permito disentir contigo en lo que dices en el último párrafo. El hecho de publicar los bugs obliga a los desarrolladores a parchear el producto. Si estas páginas no existiesen, no se harían los parches, y algún listillo que encontrase por casualidad este bug podría liar una de cohones. Por supuesto, las páginas que se dedican a servir virus-troyanos y código completo para aprovechar exploits merecen un capítulo aparte. Pero son los 'gajes' de Internet. La libertad de expresión tiene una serie de ventajas por sí misma, aunque lo de estas páginas ponga la situación al límite.

      Chau.

    • Cerrado

      BocaDePez BocaDePez
      0

      Yo creo que no monitorizas tu tráfico porque mira que hay…

      Yo creo que no monitorizas tu tráfico porque mira que hay idiotas escaneando e intentando entrar en rangos de IPs aleatorios. Y en el caso que nos ocupa, si creo que sea posible que algún desaprensivo se le ocurra usarlo mientras entro a ver mi cuenta. Si tienes un acceso total, VOILA, transacción a otra cuenta abierta con nombre falso. Se retira el dinero con tarjeta y que te den. Pero parece que ya está arreglado

    • Cerrado

      BocaDePez BocaDePez
      0

      no hay forma de actualizar mi firefox 0.92 sin tener que…

      no hay forma de actualizar mi firefox 0.92 sin tener que desinstalarlo, bajarme el firefox 0.93 entero e instalarlo de nuevo? xq anda que vaya sistema de actualizacion...... en la web solo veo para bajar la version completa, no el parche.
      no es por nada, pero es mucho más incomodo

      • Cerrado

        BocaDePez BocaDePez
        0

        Osea que no se implementa encima de la version vieja??…

        Osea que no se implementa encima de la version vieja??

        Primero se tiene que desinstalar la version vieja y despues instalara la version nueva???? Je pos se hace cap problema. Me gusta mucho este navegador y pienso mantenerlo mucho tiempo.

        • Cerrado

          BocaDePez BocaDePez
          0
          que vale, se tardara 2 minutos, pero no es nada comodo andar…

          que vale, se tardara 2 minutos, pero no es nada comodo andar desinstalando y volviendo a instalar. y los themes? las extensions? otra vez tb a volverlas a instalar?? los plugins para flash otra vez a instalarlos??

          si el navegador mola, pero joder, que pongan un sistema de actualizacion medianamente automatico. seria la mejor forma de quedarse con todos los nuevos usuarios que dan el salto desde IE.

          • Cerrado

            BocaDePez BocaDePez
            0
            yo lo he instalado encima del anterior, en Linux y en…

            yo lo he instalado encima del anterior, en Linux y en Windows, sin desinstalar antes. Y estoy escribiendo ésto con él y no he tenido ninguna pega.

      • Cerrado

        BocaDePez BocaDePez
        0

        Yo tengo 0.9.2 y no es que no pueda actualizarlo, es que al…

        Yo tengo 0.9.2 y no es que no pueda actualizarlo, es que al buscar actualizaciones me dice que está disponible la 0.9.1 (?)

  • Cerrado

    BocaDePez BocaDePez
    0

    ya se ha hablado de esto en /.

    Se ha hablado mucho en /. de este fallo. Mas que un error en si mismo es una "ida de perola" total por parte de los desarrolladores de mozilla. Este error había sido encontrado y clasificado hace ya 5 años. Los desarrolladores de escusan diciendo que hace 5 años la red no era ni mucho menos como la de ahora, y algo como un ataque de 'phishing' era impensable en aquella época, y por aquella época también importaba mucho más tener un navegador funcionando a corregir cosas como estas. Asi ha pasado y esto ha caido en el olvido... hasta que un tio lo ha encontrado y sacado a la luz.
    Cabe señalar como curiosidad, que el error sale el mismo día que Mozilla ofrece 500$ a quien encuentre una vulnerabilidad grave en alguno de sus productos.
    Por cierto, no se quién es más rápido, si la gente poniendo este tipo de avisos o la gente de Mozilla solucionándolos:

      • Cerrado

        BocaDePez BocaDePez
        0

        "The Mozilla applications have been updated to fix several…

        "The Mozilla applications have been updated to fix several security issues, including some vulnerabilities recently mentioned in the press.

        Así da gusto..."

  • Cerrado

    BocaDePez BocaDePez
    0

    Creo que ya salió Mozilla 1.7.2 y Firefox 0.9.3

    Por lo visto creo que ya corrigen todo eso.

    Que alguien me corrija si me equivoco.

    Saludos.

  • Cerrado

    El mozilla se actualiza perfecto

    Para sorpresa lanzo a mozilla y me sale que necesita actualizarse urgentemente, le doy permiso y yasta... Andara el windows update? xD

    Saludos.

    P.D.: No se si esta arreglado el explorer ya que no lo uso pero viendo la politica de actualizacion de microsoft va a ser que para navidades.

1