in

Vulnerabilidad crítica en Firefox 3.5


Puede haberse sacado chispas con Safari 4 en nuestra última batalla de navegadores, y puede estar obteniendo porciones de mercado a una velocidad impresionante, pero estamos ante una historia completamente distinta si creíamos que la nueva versión de Firefox era algo invulnerable. Un nivel de usuarios mayor al esperado ha reportado una significativa cantidad de bugs en el navegador de Mozilla. Sin embargo, esto es algo mucho más importante. Al parecer TraceMonkey sigue dando más problemas de los que debería, ya que posee una seria vulnerabilidad que podría permitir la ejecución de un comando o código malicioso. Por suerte hay una solución temporal, pero será mejor que Mozilla se de prisa con esa actualización…

TraceMonkey se convirtió en una pieza clave para que el zorro de fuego (o panda rojo, como prefieran) se mantuviera competitivo frente a los dos mayores exponentes del motor WebKit, Apple Safari y Google Chrome. Según algunas declaraciones provenientes de desarrolladores de Firefox, TraceMonkey fue una de las razones principales tras la demora en lanzar la versión definitiva de Firefox 3.5. Aún con todos los ajustes realizados, las múltiples betas y los varios Release Candidate que aparecieron en la red durante todo este tiempo, una vulnerabilidad crítica logró abrirse paso y colocar a TraceMonkey en el ojo de la tormenta una vez más.

Los expertos de Secunia, empresa que además de proveer servicios de seguridad informática mantiene registros de vulnerabilidades de más de diez mil programas, han descubierto una falla en el motor JavaScript de Firefox, titulada como "Vulnerabilidad de Corrupción de Memoria". Un error en el manejo de JavaScript puede provocar un desbordamiento a través de etiquetas HTML, como puede ser por ejemplo la etiqueta "font" mencionada en el sitio oficial de Secunia. Si alguien puede explotar de forma satisfactoria esta vulnerabilidad, podría ejecutar código arbitrario en el sistema invadido, o en otras palabras, hacerse un verdadero festín con el ordenador. De momento, existe una solución temporal hasta que Mozilla lance la actualización correspondiente. Sólo es necesario abrir la sección de configuración de Firefox escribiendo "about:config" en la barra de direcciones, escribir "jit" en el filtro, y cambiar la opción "javascript.options.jit.content" de "verdadero" a "falso". Con esto no será posible explotar la vulnerabilidad de Firefox, pero tiene sus consecuencias: El rendimiento JavaScript de Firefox 3.5 caerá considerablemente, quedando en niveles similares al de las versiones 3.0.x.

Para cuando esta vulnerabilidad fue confirmada, aquí en NeoTeo ya teníamos los resultados de la batalla de navegadores, y nos encontrábamos en pleno proceso de publicar el artículo. Si se hubiera confirmado en Secunia y en US-CERT apenas unas horas antes, no hubiéramos dudado en colocar a Firefox por debajo de Safari en el resultado final. Se espera que Mozilla comience a trabajar de forma intensiva sobre el bug durante la semana entrante, pero esto nos hace pensar si TraceMonkey (y todo el motor JavaScript en general) estaba realmente listo para salir al ruedo. Sea como sea, Mozilla se encuentra en un aprieto, y deberá proveer a su gran cantidad de seguidores con una solución lo antes posible. De lo contrario, existen muy buenos navegadores ahí afuera…

Reportar

¿Qué te pareció?

Escrito por Lisandro Pardo

Comentarios

Leave a Reply
    • Pues si pero lo malo de esto es que si una parte tan importante en firefox como lo es TraceMonkey tiene un fallo tan serio no crees que puedan exitir errores importantes en otras secciones del navegador?, creo que dejare de usarlo por el momento.

  1. firefox de nuevo a la cabeza de los errores
    usuarios fanaticos no se dan cuenta que ese navegador es un trasto con muchos errores, demasiados , incluso mas que ie 8 , es hora de que hablan los ojos de una vez y vean que firefox no es tan bueno como algunos rebeldes sin causa quieren hacer ver

    saludos

    • Vamos, no exageres tampoco.
      Eres como el tipico perdedor que se rie de que por una sola vez otro pierda.

      Con tanta cosa, ya he andado probando Opera (IE8? jamás!), pero hay que reconocer…que otra cosa es sin…ads ons.

  2. Jua jua, el que dice que firefox es más inseguro que IE8 xD.

    Tampoco uso traceMonkey… uhm, ya me confundí, es culpa de un addon de Firefox que hace mal manejo de los recursos o de Firefox? Porque si es por Firefox, mal andamos y es vulnerabilidad critica, ya que cualquier programa podría explotarlo e inclusive una página web. Si es del addon, clarito se ven los responsables y FireFox continuara invicto.

  3. Y sí, es un error grave. Pero de ahí a ser el peor falta mucho, nadie recuerda en una competencia para tomar el control de notebooks con Linux, Windows y Mac. El primero en caer fue Mac gracias a Safari en sólo 10 segundos?

    Si tuvieramos que cambiarnos a otro navegador cada vez que se encuentra un error de seguridad grave creo que en estos momentos sólo tendríamos como opción al recién salido Chrome. ( Lo nombro porque todavía no he oído de problemas de seguridad graves de este hasta el momento, pero claramente también dejaría de ser opción si existieran. )

    Saludos

  4. Blasfemia , muchos hablan sin saber . En el mundo de la informática existen los exploits que son formas de aprovechar un error del sistema o programa para tomar el control, @Dean todo tiene siempre una forma de hacerlo fallar , por eso existen las actualizaciones . Este exploit es viejo 2009-07-13 , lo vi cuando lo publicaron … también hay exploits par IE mira en http://www.milw0rm.com/ veras como nada es seguro 100% , es mas dale buscar y pon Internet Explorer …. y has lo mismo con firefox , también verán muchos , lo que menos ya que tiene menos tiempo …

    SaludoS

  5. Yo por eso aun no lo descargo pues ya sabia que algo iba a pasar, es como si ya lo hubiera presentido.
    Por eso uso chrome, opera y safari que antier lo descargue ufff por poco!!!

  6. Menos mal que al Firefox solo lo tengo como 3ra opción :P. Me parece que seguiré con mis queridos Chrome y Safari después de ver esto… Es como Windows 7, cuando salga la RTM oficial y lo vendan (pirateen) van a aflorar muchos errores! Es lo que siempre pasa ^^.

  7. El una Lastima…Firefox resulta ser Mucho mejor q Internet Explorer y poko mejor q Google Crome…pero con esos fallos y Errores sta dekayendo..sera mejor q se apresuren para segir el su puesto como numeros 1 en Navegadores de Internet¡¡.. 😀

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Loading…

0

The Secret of Monkey Island – Special Edition

Linux: Inicio en un segundo