Si hace apenas cuatro días hablábamos de una vulnerabilidad grave en Firefox 3.5, resuelta en la versión en desarrollo, pero que tardó un par de días en solventarse en la versión estable, ahora se ha detectado otra vulnerabilidad crítica no explotable. En esta ocasión afecta a la gestión de Unicode al compilador de Javascript JIT (“just in time”), y ya hay un exploit que aprovecha el fallo.
De nuevo se trata de una vulnerabilidad que permite la ejecución de código arbitrario en la máquina afectada. No es que uno espere que tras un parche urgente, el navegador sea cien por cien seguro, pero el plazo entre ambas vulnerabilidades ha sido muy próximo, y en ambos casos de la más alta gravedad. La rama 3.5 está dando alas a todos los que empezamos a estar desencantados con Firefox.
El exploit se publicó el día 15, pero la versión actual no lo resuelve. Curiosamente, el descubridor del fallo es el mismo que el del anterior. Al parecer, la extensión NoScript no sería suficiente para blindarse ante el problema, así que por ahora toca esperar al parche. Gracias a juancarlosc por ampliar la información que teníamos.
Editado: En efecto, he malinterpretado las notas, como muchos otros, y el error parece que no es explotable, en contra de cómo se había informado en primera instancia, así que falsa alarma. He encontrado una solución temporal en el blog de desarrollo de Mozilla. Recomiendan o bien usar el navegador en modo seguro (con el parámetro -safe-mode) o bien desactivar el JIT, lo que ralentiza la ejecución de javascript. Para desactivarlo, hay que cambiar en about:config el parámetro javascript.options.jit.content a true.
Vía | Download Squad
En Genbeta | Vulnerabilidad muy crítica detectada en Firefox 3.5
Comentarios
3.5.1 Lanzado, descargado e instalado.
Normal que te sientas desencantado... si de lo que siempre han hecho bandera, su seguridad frente a IE, ahora resulta que tiene este tipo de cagadas... al final todos a por Chrome.
Parece que cuando los navegadores ganan cuota de mercado pierden seguridad, haber si no le pasa lo mismo a chrome.
ahora que diran los defensores de este navegador,que esta vulnerabilidad no es igual a las del explorer porque a esta la informaron rapido o se confirmo en menos dias una de otra,ja,facil,solo son seguros los navegadores como los o.s,cuando no los usan casi nadie,pero apenas pasa un porcentaje decente,ya empiezan los dramas,lo que pasa con windows o explorer,no son malos,son mas atacados porque son mas usados,tan sencillo como eso,todos son lo mismo.Queres seguridad,usa algo no tan popular
es notorio,basta que google le quite apoyo a firefox,para que aparezcan estas cosas,logico,ahora google quiere la popularidad de ff,firefox era el mejor cuando lo bancaba google,pero ahora eso cambio,EMPIEZA LA CAMPAÑA "VERDE" POR GOOGLE CHROME,como estan poniendo estos muchachos,dolares y mas dolares
Descargando Firefox 3.5.1... Aunque use Safari, nunca está de más tenerlo todo actualizado...
Firefox 3.5 se ha precipitado mucho, por eso salen estos fallos, principalmente en el nuevo motor de JavaScript, que es la parte mas novedosa, y que por lo tanto es la que más se ha acelerado a la hora de desarrollarlo...
De hecho prometían un 100/100 en Acid3 y a mi se me queda en un 93... (Camino me da un 53, Safari 4 un 100, Chrome otro 100 y Safari del iPhone 97...)
Eso es cierto, el motor de javascript es nuevecito comparado con el que se usaba antes y es normal que aparezcan ahora los fallos cuando se le empieza a dar más rodaje; ocurrió lo mismo con el Chrome al principio, aunque ahí no se le dio mucho bombo. Recordemos además que cuando salió la versión 2 del FF también había parcheados casi cada semana, cosas de las nuevas versiones cuando salen sin testar lo suficiente.
por eso amo opera XD
curiosamente el mimo dia del lanzamiento de firerfox 3.5 salio un nuevo snapshot de opera 10 XD
Acid3 es un conjunto de pruebas DETERMINADAS y no tiene valoración oficial, ya que incluso un navegador con 0/100 podría ser compatible sin problemas a los estandar WEB.
Parece que la gente nunca lee lo que comentan los propios desarrolladores de ACID3 y se ha creado una suposición útil sobre esta prueba.
Yo también descubrí un fallo en el motor javascript de FireFox 3.5 (o 3.5.1, lo mismo me da). Y es que no funciona el script de mi blog :P
http://enbuscadelbitperdido.blogspot.com/
de todas formas... Chrome es el único con el que funciona; tampoco funciona bajo Opera, Internet Explorer ni Sarafi).
Por cierto... me refiero al script que sirve para cambiar entre los "últimos tweets perdidos"
La diferencia es q en firefox las vulnerabilidades se descubren antes y se publican, es lo que tiene ser de código abierto. En cambio en IE y en opera pueden esconderlas y parchearlas cuando les dé la gana.
Yo también descubrí un "fallo" en el motor javascript de FireFox 3.5 (o 3.5.1, lo mismo me da). Y es al ejecutar un script de mi blog :P
http://enbuscadelbitperdido.blogspot.com/
De todas formas... Chrome es el único bajo el que funciona dicho script (ni Opera, ni Internet Explorer, ni Safari lo ejecutan correctamente). Por cierto... me refiero al script para ver los "últimos tweets perdidos", arriba en el menú lateral.
perdón por el "doble-post", no sé qué hace esto :S
pobre firefox ahora si lo tan jodiendo ahora los forista que lo defendian no a paresen por aqui jeje.
y yo que pensaba que firefox no tenia eso problema como se pasaban atacan internet explorer y ahora internet explorer le calla la boca.
2 en tampoco tiempo.
Usen opera :D o chrome,para mi es mejor opera,pero reconozco que chrome es el segundo mejor :D . Saludos
Yo tengo el 3.5.1 y esta tarde me ha salido un mensaje de error, en el que me dice que hay un error y que se intente reiniciar para solucionar el problema, debajo de esa ventana me sale para mandar a los firefox los detalles del error y todo eso, de hecho a la tercera vez lo he hecho, y bueno al ver que no habia solución e desinstalado el programa por completo, menos la información guardada como contraseñas y marcadores, he vuelto a instalar y ya me ha vuelto a funcionar, esto es esa vulnerabilidad? nunca habia tenido problemas con firefox, menos mal que tengo opera por si tengo algun problema como este.
El motor de javascript es completamente nuevo, por lo que tiene un pase que tenga algún fallo a estas alturas, todo software nuevo los tiene.
La clave de esto es cuanto tarden en arreglarlo, en el caso de IE en ocasiones pasaban años (y no tengo claro si los acababan solucionando, y sí, me refiero a exploits conocidos), en el caso del Firefox no suelen tardar nunca más de un mes (normalmente bastante menos).
Aaasi que amantes del IE, dejad de usar esa basura que toca tanto las narices a todo el que crea páginas web (yo afortunadamente ya no) y si FF no os gusta usad opera/safari/chrome o cualquier cosa, pero por dios, no IE.
Que mal, eso no pasaba antes al firefox, ire pensando en instalar safari =(.
Por cierto... ¿Para que demonios lo publican a bombo y platillo en vez de solucionarlo discretamente? Porque ahora todo el que quisiera infectar un ordenador a través de Firefox sabe cómo hacerlo, al menos hasta el próximo parche. Es cómo si un banco detectara que no les funcionan las alarmas por la noche y en vez de repararlo sin decir nada lo dijeran a toda la ciudad. Con respecto a la seguridad, es entendible que un motor nuevo tenga algunos fallos.
Lamentable pero justificado para ser un motor nuevo. Pero sigo con la idea de que se dejen de JavaScript, que es inseguro, no importa que mejoren la seguridad.
Bueno, sólo espero que se solucionen todos los errores posibles (¿a quién se le ocurrió soltar el mono?)
Pero que coño les pasa? raro tener una y ahora dos seguidas? que coño es esto?internet exploiter?
Otra más y me cambio de navegador.
Aunque es cierto que el número de vulnerabilidades críticas ha aumentado en Firefox tampoco es para ponerse a cuestionar su seguridad, o peor, de abandonar este fantástico navegador por otro.
Productos sin fallas son imposibles de lograr. Pongan el caso de Chrome, que inició tan mal con fallos de seguridad enormes, y ahora resulta que algunos lo consideran más seguro de Firefox. Ni ustedes o yo sabemos si Chrome tiene menos fallos que Firefox o cualquier otro navegador. Sencillamente no las han encontrado. Y eso pasa por considerar cuánta gente interesada en buscarlos encontramos.
La seguridad es una asunto más complejo que contar fallas o mensurar su gravedad, pasa también por el tiempo que demoran en repararlas, la facilidad para explotarlas, etcétera.
Si tu eres un navegador prudente, que no andas bajandote cosas que no debes ni visitando sitios peligrosos, no deberías temer.
Al fin y al cabo la seguridad depende más del usuario que del software que usas. En el caso de Firefox, tiene algunas vulnerabilidades que mellan su seguridad, pero poniendo un poco de cuidado no son suficientes para pasar por alto que tiene también excelentes características y un mundo de extensiones que otros navegadores no tienen. En el balance sigue siendo uno de los mejores navegadores que existen. Si no es el mejor, claro está :P
Saludos.
Viva SAFARI!!!!!!!
TE AMO APPLE!!!!
A este paso firefox será IE-2
@23, pensé que applesfera era el sitio para los Apple fanboys
interesante
ehhh.. chicos, no es por nada, pero parece que algunos le tienen un ligero encono a este navegador.
Lo cierto es que por lo que dicen por alli (palabras de Mike Shaver,VP Engineering de mozilla), esta vulnerabilidad, de crítica no tiene un pimiento.
Solo produce un crash en Mac (en las versiones 3.0.x y 3.5.x) y en Windows (solo la versión 3.0.x). Repito... que no es explotable (de critico, muy critico, o requerecritico_que_te_mueres!, nada).
El link al comentario de Mike:
http://blog.mozilla.com/security/2009/07/19/milw0r...
Comentar los bugs presentes en el software libre es genial, porque ayuda a que entre todos podamos solucionarlo (al contrario que en otro tipo de software). Pero salir a gritar en circulos sin contrastar datos, genera una falsa sensación de inseguridad, que puede terminar en usuarios molestos, o incluso peor... en usuarios insensibles a las advertencias de seguridad.
Saludos!
PD: Noto cierta proliferación de un grupo de comentarios bastante resentidos y faltos de argumento... es mi imaginación?
llevaba tiempo con ganas de una excusa para pasarme a Safari y aquí esta.
SAFARI!!!
Hace rato que firefox ya no es lo que era... ya es hora de mirar otras opciones. Me descargue la BETA 2 de Opera 10... esta muy buena. Ya esta completa, no le falta nada. Me cambio a Opera
Joer menos mal que no es nada, antes de poner MUY GRAVE deberíais informaros más, ya lei pior el 25 que no es nada...
En lo q a mi respecta creo q se presipitaron en el lanzamiento del firefox y creanme q tiene muchas fallas ademas de sus huecos de seguridad, q todo sistema lo tiene asi q no nos hagamos a los tontos, todavia me acuerdo de la cantidad de bugs del chrome al dia de su lanzamiento, el hecho es q como dije antes firefox debia haber calculao mejor su lanzamiento
Son bien como las pelotas!! antes de andar gimiendo como minas deberian informarse bien "The bug in question is not exploitable, and in fact doesn't even crash FF3.5 on Windows. See http://blog.mozilla.com/security/2009/07/19/milw0r...
Y los mamones/resentidos de safari/chrome saltan apenas tienen la oportunidad. En fin "que los perros no ladran, que no avanzamos" Así que genial, yo personalmente le doy las gracias a Chrome por hacer a Firefox aún mejor de lo que ya era, y en cuanto a safari = q windows si no fuera un navegador nativo sería una rareza.
Aparte de eso, y esto va para el editor, informarse bien antes de escribir un articulo, que una fuente no basta, sobre todo en un tema donde hay tantos intereses encontrados.
Este internet explorer es una mi.erda, a ver si los de Microsoft hacen algo bien. Ah hablamos de firefox? bueno no importa, vulnerabilidades tienen todos los programas.
no soy fan de IE, pero segun tengo entendido IE, es recomendado para las transacciones comerciales y bancarios (a diferencia de por ejemplo safari) ... mas bien no uso Firefox desde la version 2 debido a su absurdo consumo de memoria, tal como uso a thunderbird como cliente de correo por su sencillez y rapidez. en navegadores, yo uso opera desde que tengo uso de memoria, no es perfecto, pero es liviano, rapido, y sobre todo versatil, no tanto como firefox, pero a su vez no tiene todo lo malo de ese browser, en codigo abierto chromiun o iceweasel son buenas opciones...
sin embargo si no se quieren despegar del motor gecko usen k-maleon para windows... es increiblemente rapido, les recordara los primeros tiempos de firefox, y segun creo nadie le conoce y no tiene muchas fallas (descubietas) ;)
pero si quieren un consejo , Opera ...
¿Y por qué no hay ningún post sobre las dos vulnerabilidades criticas de Chrome (dos, igual que Firefox)?
Claro, pero como Chrome maneja las vulnerabilidades en lo "oscurito", ya todos creen que es bien seguro (con todo y el sandbox)
http://download.cnet.com/8301-2007_4-10289789-12.h...
#40: Me temo que el bug al que enlazas no es ese, sino este otro que sí es crítico. Notificado desde el día 14, pero sin parche. He puesto la solución provisional en el artículo.
#33: Si me hubiera enterado lo habría comentado igualmente. No defiendo ningún navegador, tan sólo aviso para que la gente esté protegida.
No era ataque xD. Sólo quería resaltar que Chrome también tiene fallas de seguridad igual de graves. La tendencia es apoyar a la minoria. Por ejemplo:
En la epoca de IE, Firefox era el pequeño rival (Opera no cuenta porque era de paga o con publicidad), los geeks lo llamaban ultraseguro, mega-rápido, etc. Firefox ahora alcanza una cuota aproximada de 25% del mercado, así que ya no es cool. Ahora hay que criticarlo, y cambiarlo por otro navegador.
Lo mismo pasa con Ubuntu. Al principio le llamaban una distribución muy fácil de usar y poderosa. Ahora es la distribución Linux más usada, así que ya no es Cool. Ahora lo mejos es encontrar la distribución más rara que exista y usarla.
Lo que deberíais hacer es no emparanoyaros con tanta tontería de agujeros de seguridad. Si navegas con conocimiento no te enntraran porquerías en el ordenador; y esa es una cualidad de cualquier navegador (unos con mas protección, otros menos). Cada uno utiliza el Navegador que le place, y cada cual está satisfecho con ello.
Que nos gusta ser muy "tragedia".
#34: Me temo que "este otro" es la única vulnerabilidad encontrada y no una segunda. Es el mismo enlace ! Vía A HREF="http://www.downloadsquad.com/2009/07/15/critical-firefox-3-5-javascript-exploit-surfaces/"> "Download Squad"
Puedes comprobarlo también en http://www.zonafirefox.net/2009/07/la-vulnerabilid... o en los comentarios de la fuente de este artículo.
#38: Tienes razón, Felipe, he mezclado ambos avisos por malinterpretar las noticias de otras fuentes ajenas a Mozilla. En efecto, el bug se había notificado como explotable y muy grave. Pero desde Mozilla se desmiente que sea explotable este segundo bug, que produce un desbordamiento en la gestión de cadenas largas en Unicode.
De acuerdo que esto es un blog y no un periodico ni un site de noticias pero en esta entrada, ademas del dramatismo generado, que se ha demostrado que no era para tanto, no me parece bien que se aleccione a los demas usuarios con arengas de este tipo: La rama 3.5 está dando alas a todos los que empezamos a estar desencantados con Firefox. Desde mi punto de vista, si hay espacio para corregir informaciones incorrectas y/o incompletas también debería haber espacio para retirar/matizar ciertos comentarios acerca de esas informaciones incorrectas y/o incompletas.
Y acerca de los compañeros que comentan que si Firefox vaya castaña y tal... Solo dire una cosa: codigo libre. Si precisamente se encuentra estos fallos y se reportan es porque el programa se publica como código libre, pudiendo detectar errores y pudiendo solucionarlos libremente. Decidme si esto mismo se puede hacer, en este caso, con otros navegadores de codigo privativo.
Escribir un comentario
Para hacer un comentario es necesario que te identifiques: ENTRA o conéctate con FacebookConnect