viernes, 27 de julio de 2007

Grave vulnerabilidad en Firefox 2.0.0.5


Si bien mantengo mi posición respecto de la vulnerabilidad del robo de contraseñas de Firefox, la cual es puesta en duda hasta por los desarrolladores ya que requiere que un atacante logre penetrar en un sitio para hacerse con las contraseñas (lo cual considero que es parte de la seguridad de cada sitio), la vulnerabilidad que comento a continuación no me merece la más mínima duda. Si utilizas Firefox bajo Windows XP y tienes instalado IE7, estarás expuesto a una gravísima vulnerabilidad en Firefox 2.0.0.5, Netscape 9 y Mozilla que permite la ejecución remota de comandos en tu PC con solo dar clic en un enlace.

Esto significa que con solo dar clic en un enlace es posible ejecutar cualquier aplicación o comando en forma remota y silenciosa. Tanto se podría abrir la calculadora como formatear por completo el disco o hacer lo que a alguien malintencionado se le ocurra hacer. Esto no está limitado a una carpeta en particular si no que todo el disco es accesible a este ataque. Para ver ejemplos de esta vulnerabilidad basta con dar clic en cualquiera de los siguientes enlaces:

Vean con que facilidad se accede a nuestro equipo. Estos son solo ejemplos, pero repito, tanto vale abrir la calculadora como formatear el disco. De acuerdo al US-CERT esta grave vulnerabilidad se hizo pública el 25.07 y la gente de Mozilla está trabajando en ello (ver bug 389580).

Para estar algo más prevenidos, se recomienda modificar unas claves de configuración para que al menos nos avise en caso de ejecutar enlaces mailto, nntp, news o snews, los cuales son utilizados para este tipo de ataques. Para esto deberán escribir about:config en la barra de direcciones y luego cambiar el valor de las siguientes claves a True:

network.protocol-handler.warn-external-default

network.protocol-handler.warn-external.mailto

network.protocol-handler.warn-external.news

network.protocol-handler.warn-external.nntp

network.protocol-handler.warn-external.snews

Como adicional, evitar abrir enlaces que contengan “″ luego del protocolo.

Todas las versiones de Firefox incluida la 2.0.0.5 son vulnerables, aunque Firefox 2.0.0.6 RC2 ya tiene por solucionado este problema. Por lo que veo se están apurando a lanzar esta nueva versión (de hecho ya tengo instalada esta RC2), y seguramente saldrá en los próximos días. Si ya lo tienen solucionado opino que deberían lanzarlo de inmediato ya que el problema lo amerita.


Vía:zonafirefox