La compañía de seguridad danesa Secunia ha informado de dos fallos «extremadamente graves» en el navegador Firefox. Las vulnerabilidades serán resueltas, previsiblemente, en los próximos días y afectan a la última versión, la 1.0.3., aunque podrían encontrarse también en las anteriores.
Uno de los problemas está relacionados con los Iframes de las URLs JavaScript, que no están suficientemente protegidos y pueden permitir ejecutar código HTML remotamente.
El otro afecta a las entradas recibidas en el parámetro ‘IconURL’ de ‘InstallTrigger.install()’, que no son verificadas antes de ser utilizadas, lo que puede aprovecharse para ejecutar código JavaScript con privilegios escalados al usar una URL JavaScript especialmente formada a tal efecto. La explotación con éxito de esta vulnerabilidad requiere que el sitio tenga permitido instalar software (por defecto, los sitios que pueden hacerlo son update.mozilla.org y addons.mozilla.org), informa la compañía de seguridad Hispasec.
Sólo como solución temporal, Secunia recomienda deshabilitar el JavaScript de Firefox, usar otro navegador o no permitir a páginas instalar software. Según Secunia, ya existe en la Red un código -exploit- que permitiría a cualquiera con los suficientes conocimientos explotar todas estas vulnerabilidades.
Fuente Libertad Digital
Mientras la Fundación Mozilla saca la versión 1.0.4 (ahora tienen la oportunidad de demostrar que son mejores que Microsoft, donde hay que hacerlo: en la rapidez para lanzar parches), os recomiendo que ese «otro navegador» sea Opera 8: ninguna vulnerabilidad documentada según la propia Secunia, y el navegador con menos agujeros desde que vengo siguiendo a los «tres grandes» (con permiso de Konqueror).
Han lanzado la 1.0.4. Aplausos para la fundación Mozilla: esto es velocidad y, sobre todo, un puñetazo a la cara de los que afirman categóricamente que el software propietario ofrece más garantías de seguridad que el libre.