Firefox no es la panacea
El 15 de septiembre, Mozilla liberó actualizaciones para la versión 1.5.0.7 de su navegador de Web Firefox y para su aplicación de correo electrónico Thunderbird. Ambos productos comparten el código modular, y por ello presentan similitudes básicas en cuanto a vulnerabilidades. (Como la mayoría de las aplicaciones de correo electrónico, Thunderbird despliega correo electrónico en formato HTML, tomando prestado un elemento de esta función del mismo motor que subyace en Firefox).
Mientras crece la popularidad de Firefox, se ha vuelto un blanco más atractivo para los hackers, quienes tradicionalmente han enfocado sus esfuerzos hacia el Internet Explorer de Microsoft. Según Felipe Araya, gerente segmento Midsize para Colombia y Chile de Trend Micro, en el fondo "aunque Firefox continúa siendo visto como un navegador hasta cierto punto más seguro que Internet Explorer, no es la panacea."
Estas recientes actualizaciones son el último de los esfuerzos de Mozilla para afrontar los desafíos propuestos por la vulnerabilidad de Firefox y Thunderbird. Después de que la versión 1.0 de Firefox fuera liberada en noviembre de 2004, se encontraron casi 75 vulnerabilidades críticas antes de que apareciera la versión 1.5, en noviembre de 2005. Cincuenta y nueve parches subsecuentes, incluyendo el último, llevaron a Firefox hasta su versión 1.5.0.7.
Estas actualizaciones se enfocan contra diversas vulnerabilidades de seguridad:
La primera de ellas es un parche que corrige una vulnerabilidad Cross-Site Scripting (XSS) en el bloqueador de ventanas emergentes, por la cual se habilita una opción en el bloqueador que permite desplegar ciertas ventanas emergentes que deberían ser bloqueadas y que, a su vez, podrían provocar una referencia remota a un sitio mal intencionado, incluso si JavaScript estuviera inactivo. Otras actualizaciones atendieron problemas de gestión de la memoria, una que causa un conflicto en la consulta de la memoria que podría colapsar el navegador e inyectar un código ejecutable; y otra con un desbordamiento de memoria provocado por el uso de caracteres inválidos en código JavaScript diseñado ex profeso, el cual puede ser aprovechado para correr un programa malicioso.
Mozilla reparó también una implementación débil de certificados digitales de RSA, a través de la cual podría permitir la validación de certificados SSL/TLS falsos, para posibilitar la intervención de un intruso y robar información mientras se efectúa una transacción supuestamente segura. Otro de los parches corrige una ventana fraudulenta que utiliza el comando document.open(), y que de dejarse sin reparar, podría permitir la suplantación de un segmento de un sitio Web (por ejemplo, la página de inicio de sesión) para robar los datos de identificación del usuario.
Finalmente, se corrigió una vulnerabilidad que se activa sobre de la ejecución de JavaScript en correos electrónicos a través de XBL (eXtensible Bindings Language) y que implica que, incluso cuando JavaScript estuviera inhabilitado, sea posible recibir una referencia externa a un objeto
XBL codificado, de manera que un atacante pueda ver las respuestas de correo electrónico del usuario.
Estas últimas actualizaciones dejan ver que los hackers centran cada vez más su atención en las aplicaciones que en sistemas operativos.
Esto se debe a que los navegadores y los clientes de correo electrónico son ahora las aplicaciones que se utilizan con mayor frecuencia explica Araya. Los hackers también dirigen ataques hacia aplicaciones como reproductores multimedia y lectores de archivos Flash, de Adobe. El hecho de que el Internet Explorer forme parte del sistema operativo de Windows, no ayuda en nada en esta situación.
Felipe Araya establece: Mientras se acerca el lanzamiento del nuevo sistema operativo Microsoft Vista, que promete arreglar algunos conflictos de seguridad desde su núcleo, el movimiento que se observa en el terreno de las vulnerabilidades de las aplicaciones, hace que estás amenazas tengan más esperanza de vida, particularmente porque muchos de los programas susceptibles están disponibles y se descargan en línea, provocando que haya poco control en la actualización de las últimas versiones corregidas.
Mientras crece la popularidad de Firefox, se ha vuelto un blanco más atractivo para los hackers, quienes tradicionalmente han enfocado sus esfuerzos hacia el Internet Explorer de Microsoft. Según Felipe Araya, gerente segmento Midsize para Colombia y Chile de Trend Micro, en el fondo "aunque Firefox continúa siendo visto como un navegador hasta cierto punto más seguro que Internet Explorer, no es la panacea."
Estas recientes actualizaciones son el último de los esfuerzos de Mozilla para afrontar los desafíos propuestos por la vulnerabilidad de Firefox y Thunderbird. Después de que la versión 1.0 de Firefox fuera liberada en noviembre de 2004, se encontraron casi 75 vulnerabilidades críticas antes de que apareciera la versión 1.5, en noviembre de 2005. Cincuenta y nueve parches subsecuentes, incluyendo el último, llevaron a Firefox hasta su versión 1.5.0.7.
Estas actualizaciones se enfocan contra diversas vulnerabilidades de seguridad:
La primera de ellas es un parche que corrige una vulnerabilidad Cross-Site Scripting (XSS) en el bloqueador de ventanas emergentes, por la cual se habilita una opción en el bloqueador que permite desplegar ciertas ventanas emergentes que deberían ser bloqueadas y que, a su vez, podrían provocar una referencia remota a un sitio mal intencionado, incluso si JavaScript estuviera inactivo. Otras actualizaciones atendieron problemas de gestión de la memoria, una que causa un conflicto en la consulta de la memoria que podría colapsar el navegador e inyectar un código ejecutable; y otra con un desbordamiento de memoria provocado por el uso de caracteres inválidos en código JavaScript diseñado ex profeso, el cual puede ser aprovechado para correr un programa malicioso.
Mozilla reparó también una implementación débil de certificados digitales de RSA, a través de la cual podría permitir la validación de certificados SSL/TLS falsos, para posibilitar la intervención de un intruso y robar información mientras se efectúa una transacción supuestamente segura. Otro de los parches corrige una ventana fraudulenta que utiliza el comando document.open(), y que de dejarse sin reparar, podría permitir la suplantación de un segmento de un sitio Web (por ejemplo, la página de inicio de sesión) para robar los datos de identificación del usuario.
Finalmente, se corrigió una vulnerabilidad que se activa sobre de la ejecución de JavaScript en correos electrónicos a través de XBL (eXtensible Bindings Language) y que implica que, incluso cuando JavaScript estuviera inhabilitado, sea posible recibir una referencia externa a un objeto
XBL codificado, de manera que un atacante pueda ver las respuestas de correo electrónico del usuario.
Estas últimas actualizaciones dejan ver que los hackers centran cada vez más su atención en las aplicaciones que en sistemas operativos.
Esto se debe a que los navegadores y los clientes de correo electrónico son ahora las aplicaciones que se utilizan con mayor frecuencia explica Araya. Los hackers también dirigen ataques hacia aplicaciones como reproductores multimedia y lectores de archivos Flash, de Adobe. El hecho de que el Internet Explorer forme parte del sistema operativo de Windows, no ayuda en nada en esta situación.
Felipe Araya establece: Mientras se acerca el lanzamiento del nuevo sistema operativo Microsoft Vista, que promete arreglar algunos conflictos de seguridad desde su núcleo, el movimiento que se observa en el terreno de las vulnerabilidades de las aplicaciones, hace que estás amenazas tengan más esperanza de vida, particularmente porque muchos de los programas susceptibles están disponibles y se descargan en línea, provocando que haya poco control en la actualización de las últimas versiones corregidas.
0 comentarios