Firefox 3.5 tiene una vulnerabilidad muy crítica para la que por ahora no hay parche, según ha informado Secunia que ya ha sido parcheada en la versión de desarrollo. El fallo, que puede afectar a otras versiones del navegador, permite a los atacantes la ejecución de código arbitrario en la máquina afectada.
La vulnerabilidad se debe a un error en la gestión al procesar código JavaScript. Para explotarlo, tan sólo hay que utilizar etiquetas HTML para causar una corrupción en la memoria, abriendo la puerta a la ejecución de código arbitrario.
La solución provisional es sencilla, afortunadamente, en tanto en cuanto Mozilla no libere el parche Firefox 3.6. En la sección de configuración de Firefox (a la que se accede en about:config), cambiar el valor de la entrada javascript.options.jit.content a “false”.
Editado: RSB y Jorge Ces nos avisan de que la vulnerabilidad sí que estaba resuelta, incluso antes de ser publicada, en la versión de desarrollo de Firefox 3.6.
Mozilla empieza a probar elementos animados para la interfaz de Firefox 4
Mozilla lanza las APIs para Weave
Alerta: localizadas dos extensiones de Firefox con código malicioso
Firefox quiere entrar en Android y salir de Mac OS X Tiger
El futuro de los navegadores: entrevistamos a Jan Standal de Opera Software (parte II)
Me gustaria saber en este momento donde estan todos los foristas que atacaron a Internet Explorer y negaron que esto sucediera en firefox cuando se publico "Vulnerabilidad crítica en ActiveX de Internet Explorer 8".
Reconozco que yo tambien uso firefox por necesidad mas no por gusto y sinceramente pienso Internet Explorer no es tan malo como lo pintan y firefox no es tan bueno como se cree. Ningun navegador esta exento de este tipo de cosas.
Justamente esta semana pensaba instalarme el FF para que mi hermana me deje de joder, ahora voy a esperar que se solucione esta vulnerabilidad. Gracias por el aviso.
PD: No era que Mozilla solucionaba antes los problemas de seguridad? Al menos MS publicó un parche.
Los problemas de seguridad van a existir siempre, sea cual sea el tipo de programa afectado. La diferencia entre una vulnerabilidad en Internet Explorer y en cualquier otro navegador es que al estar aquél tan integrado en Windows sus fallos se pueden considerar como un fallo del sistema operativo (con la gravedad que ello comporta).
A ver... cualquier navegador es un punto débil, con mucho riesgo de que se detecten agujeros de seguridad. Lo importante es la gravedad de esos fallos de seguridad y la rapidez en solucionarlos.
La crítica (razonada) a Internet Explorer es que en cuanto a número de fallos de seguridad, quizás sean menos que en Firefox y otros navegadores, pero en cuanto a gravedad de los mismos y a velocidad de reparación, suele (y digo "suele") ir por detrás.
Eso no quiere decir que en Firefox o Chrome no se detecten fallos graves. Pero por ser tener su código fuente disponible, es más sencillo detectarlos y suelen corregirse antes (¡suelen!).
Y de la última vulnerabilidad crítica en Internet Explorer de la que hablamos, Microsoft no publicó parche en el momento, tan sólo había un apaño igual que ahora.
Esa vulnerabilidad estaba ya resuelta antes de ser pública. Fue publicada por un tal Simon Berry-Byrne ayer pero ya era conocida desde el 9 de julio en el entorno de desarrollo. Podéis ver más información en el blog Zona Firefox (http://www.zonafirefox.net/2009/07/la-vulnerabilid...).
El problema es no haberlo hecho público antes para evitar tanto menéame que muchas veces perjudica como se puede ver en los comentarios anteriores.
Claro, no es lo mismo tener a millones de personas buscando la manera de vulnerar el software de Microsoft.
Que tener a millones de personas buscando la manera de poner al Firefox como el gran navegador.
Es cuestión de enfoques, no creen?
Gracias por los avisos, ya está actualizada la noticia.
si firefox te rompe el tuje,es mejor,solo porque te avisa que lo esta haciendo,que fanatismo barato,no se dan cuenta que todas las cosa son segura,mientras no lo usa nadie pero pasa un porcentaje decente y fuiste,esto paso con mac y pasara con linux,si logra un poco mas de usuarios,veremos en donde se meten lo de mas seguro o que no necesita antivirus,o que este es el mejor navegador,hace rato que ff se convirtio un navegador mas del monton que solo le queda un monton de fanaticos que te quieren hacer creer que ya salio el parche antes que la falla,el fanatismo no tiene limite,salvo que corra algun billetito verde
Nunca me gustó la versión 3.5 de firefox, demasiados fallos, tardaba más en abrir, consume más memoria, etc. Gracias a esa versión ahora estoy al 100% en Chrome
para @maverick: cuando ms tarda semanas en resolver algunos de sus errores una vez se hacen públicos y mozilla a sacado el parche antes incluso de extenderse la vulnerabilidad no creo que tu comentario no tenga ninguna validez. Lo mismo puedo preguntar yo ¿donde se menten los ultradefensores de ms (que algunos parece que trabajan para ellos) cuando tienen fallos que cuestan dinero a las empresas que confían en ellos?
@gustozo: el parche no puede salir antes que el fallo, pero tú seguro que te has enterado con muy pocos minutos de diferencia y no te hubiera dado tiempo a explotarlo ¿que cantidad de usuarios actualizaron a ff3.5 y cuantos siguen con ie6 e ie7 sin parchear?
@EmMag: cuando tienes el codigo fuente es infinitamente más fácil encontrar fallos, al soft de ms lo revientan a ciegas. cuestión de enfoques ¿no crees?
En un principio parece que FF 3.0 no es vulnerable a éste problema, ya que afecta al nuevo motor de Javascript que se estrenó en 3.5. http://blog.mozilla.com/security/2009/07/14/critic...
De todas formas, la versión actual de 3.6 ya tenía solucionado éste problema y se espera que en las próximas horas también lo esté en 3.5.
De todas formas, para el que tenga miedo, NoScript y listos, yo lo tengo como los condones, nunca salgo de casa sin él :D
Pero es que sigue sin haber solución. No creo que la solución sea instalar una versión beta del navegador. En principio se liberará pronto la 3.5.1, con la solución de esto. Pero para los que tenemos la 3.5 no tenemos mas remedio que seguir con el fallo.
El asunto es que saquen YA un parche, que después se quejan de la lentitud de Microsoft. Yo creo que se les ha salido del tiesto la nueva versión de javascript, porque sabiendose el error hace ya varios dias y no hay versión para los 3.5 que lo arregle.
Al final son tan buenos unos como otros.
metalagent |lo del parche lo digo en tono de ironia,porque mientras existan defensores fanatisados como los que defienden a ff,nos haran creer ese pescado,tiran frutas todo el tiempo,habria que ver quienes son los que trabajan en mozilla,o cobran de el o google porque defienden tanto a estos dos,yo solo veo que va pasando los dias y firefox tambien va pasando,porque del primer fallo de ff a este paso un buen rato,ya que todos los dias aparecen cositas nuevas,pero el pez por la boca muere,tanto hacian imcapie en la seguridad que se volvio su tendon de aquiles,los fallos de seguridad,en definitiva,son eso:fallos de seguridad
Fedora 11 + Opera 9.64 / Mozilla Firefox 3.5 = 0 Preocupaciones.
Para qué me preocupo si me imagino que ese 'código malicioso' solo se ejecuta en Windows como de costumbre.
14# Ya tardaba alguien en sacar que son los mas mejores del mundo entero. Ahora te puedes poner una medalla y sonreir feliz por ser mejor que los demas.
#14 te olvidas de mencionar tambien que ese s.o es uno de lo mas feo del mundo y prefiero tener 20 millones de virus y que esa flor de medio pelo de s.o, deja me quedo con todo el virus del mundo y no soy el unico,el 99% de los usuarios asi lo prefiere
#9, ¿cómorl? http://www.muycomputer.com/Actualidad/Noticias/Que...
17# Esa comparativa no vale. Esta hecha sobre navegadores en evolución, sin ser los estables finales. NO esta el Explorer y encima es bajo condiciones determinadas.
Si pruebas Chrome, verás que el consumo global de RAM disminuye. Firefox come RAM que da gusto, y lo que es peor, no lo suelta NUNCA. Siempre se queda en memoria parte de las pestañas cerradas.
@17
No sé si no valdrá la comparativa, pero de lo que estoy seguro es que chrome anda 324653 mas rápido que firefox. También que es 314354 veces mas seguro. El consumo de RAM no es algo vital para la mayoría de los usuarios además de que no es tampoco cosa de otro mundo.
El fallo no esta solucionado, lo esta en una verion de desarrollo la 3.6 yo tengo la 3.5 version "estable" por tanto mi version del navegador es insegura para este tipo de ataque. de momento llevan mas de una semana sin solucionar el fallo
#16 es el comentario mas estupido que he visto, ¿prefieres un s.o. "bonito" pero que sea una coladera de porqueria a uno "feo" que es mas seguro? ¿no te dedicas a la informatica verdad?.
No tenia idea que existia este fallo abra que solucionarlo nosotros hasta que exista un parche oficial, para que vean que ningun explorador esta libre de huecos en la seguridad y tambien que genbeta es imparcial en este sentido.
" nos avisan de que la vulnerabilidad sí que estaba resuelta, incluso antes de ser publicada "
sera que hay otras vulnerabilidades y no avisan ?
Con respecto a Firefox yo creo que hace un tiempo se está volviendo un navegador mediocre, y hace tiempo lo dejé de usar.
@21 No creo que una persona sea estúpida por tener preferencias distintas de las tuyas.
Y aunque no te creas, la MAYORÍA de las personas no son informáticos y prefieren el windows "inseguro" a cualquier distro de linux, cualquiera puede darse cuenta de eso.
# 23 entiendo tu punto de vista yo actualmente no uso linux, pero hay tantas razones para elegir un s.o. como puede ser soporte de hardware, compatibilidad de software, seguridad etc. pero elegir un s.o. solo por que es mas "bonito".
noticia amarilla
haber
si es una vulnerabilidad salio en betas y se resolvio en betas, y frefox 3.5 salio sin esa vulnerabilidad
ENTONCES
firefox3.5 NO tiene eaa vulnerabilidad
es que si se va a sacar todos los bugs de los programas betas apaga y vamonos
noticia amarilla que pro IE saborearan
un saludo
Yo no pienso que el navegador sea mediocre ni malo, solo creo que cubrir todas las areas que un software de este abarca es un trabajo muy muy grande y para nada facil. Los que desarrollamos software sabemos. No me imagino las dificultades que tienen los equipos de open office y bueno es que crear un software que se popularice tanto es cada vez mas dificil de mantener. Chrome es Chrome por que no tienen tanta historia y eso les facilito el diseño e hicieron realmente un buen trabajo, tambien el hecho de que no hallan extenciones les ayuda mucho (problemas menos) Yo creo que es de valorar que firefox exista si no fuera asi posiblemente el IE nunca ubiera cambiado a lo que tenemos en el IE 8
@25 mejor informate antes de tachar a una noticia amarillista. http://www.zonafirefox.net/2009/07/la-vulnerabilid...
El "parche" lo tiene que hacer cada uno y es dehabilitando no se que cosa, y hay muchos que no se enteraron así que están navegando con esta vulnerabilidad, que ya está corregida pero para la 3.6 en desarrollo.
PD: la noticia es puramente informativa además de que alkar según sé es mas partidario del software libre por lo que no creo que haga una noticia en contra de el.
#24
-compatibilidad de hardware en linux hoy es 99% -compatibilidad de software , ojo software de windows bjo wine es de 70% -otra cosa es usar software de linux, que hay version linux de el 99% de las cosas - que es mas bonito, depende - seguro mil veces
hoy en dia la unicas escusas de usar windows son dx9 + juegos y algunos programas x profecionales
#27 silver, yo critico de amarillista esta noticia pro lo que LEO
"Firefox 3.5 tiene una vulnerabilidad muy crítica para la que por ahora no hay parche, según ha informado Secunia que ya ha sido parcheada en la versión de desarrollo"
repito segun informa secunia que YA HA SIDO PARCHEADA EN LA VERSION DE DESARROLLO
o sea , a sido parcehada en la beta, ahora si la noticia de aqui es falsa, o mal informada, entoncesz NO m,e creo ni la base
asi que tu diras, maese sabelotodo ;)
pd: e leido el enlace que pones, y tio sabes leer?
lo unico que dicen es que en hispasec se comenta qeu esta vulnerabilidad no esta parcheada, y sigue dicendo y dando pruebas de que ese parque esta ya hecho, con lo que diec hispasec no es valido
sigue diciendo que ese fallo se soluciono el mismo dia ( = que microsoft con IE), sigamos , con un parche creado para 3.6, y por ultimo se izo un parche para 3.5
y depues dice al final
"Por lo tanto no solo existe un parche para Firefox 3.5 sino que la solución estaba antes que se haga público el fallo"
porque ya antes de salir 3.5 final ya estaba parcheado, ya que el parche se puso en la betas de 3.5
o sea se descubre el fallo, el mismo dia sele el parche para la beta 3.6, y dias mas tarde sale el parche para la beta 3.5
3.5 final sale con el parche puesto
asi que NOTICIA amarilla
pd2: busca otro enlace para que respalde lo que dices porque este lo que hace es desmentir lo que dices, creo que por no entender bien lo que lees, mal que hoy en dia tiene michusima gente, yo escribo mal pero entiendo bien lo que leo por lo menos
no.. la solución para la 3.5 es deshabilitando el java. No está el parche en la que todos se bajaron hace unos varios días.
"por último se creó el parche para la versión 3.5 que puede verse aquí."
Y los que no actualizan con el parche? a eso iba...
Cuando dejarán de existir vulnerabilidades?, es muy dificil saberlo con certeza, lo que si se es que no voy a permitir que convivan con mis archivos e información personal y por ende confidencial "20 millones de virus", eso es estúpido... a cambio de que? de lo bonito?, de los juegos?. Al menos [las vulnerabilidades] se descubren y se tratan de resolver a tiempo, y con ayuda de las contramedidas el impacto se reduce al máximo, casi al punto de no tener que ser un experto en informática para prevenir ataques y problemas relacionados con las vulnerabilidades que se descubren. Uso Ubuntu y tengo instalado Firefox y Opera, ambos me encantan aunque uno diariamente descubre cositas en uno y otro, lo importante es que mejoran dia a dia..., el Window$ lo tengo por ahi, virtualizado con VirtualBox, por aquellas herramientas que aun no tienen su par en Linux, pero paulatinamente tengo que utilizar menos el VirtualBox con W, asi que eso me reconforta.
No si si a uds les ha pasado pero yo ya tube varios problemas con esta version del firefox en especial cuando estoy con videos
29# No es sensacionalista la noticia. Existe un grave fallo de seguridad y que solo puede ser parcheada manualmente y de manera bastante complicada.
En blogs especializados hablan de la noticia y en bugzilla aparece reflejado esta vulnerabilidad. De hechjo desde Mozilla se habla de que la semana que viene saldrá de manera imprevista la versión 3.5.1 para solventar este BUG y otros de menor gravedad.
Y gracias por darnos tu opinión de que Linux es mejor. Mira, yo opino que OpenSolaris es mil veces mejor. Una pena que tenga poco software, pero ya le gustaría a Linux ser la mitad de bueno :P
Yo creo que UNA vulnerabilidad grave (que es la unica que recuerdo y lo uso desde el 1.5) se le puede pasar.
A usar opera y chrome una semana y ya está.
Que no tiene justificación, pues no la tiene pero que no me vengan los defensores de IE diciendo subnormalidades porque IE tiene varias igual de graves al año.
@claudiofm: La parcheada es la 3.6 en beta
Hola a todos: Unos pequeños puntos: -28# Eso de que Linux reconoce el 99% del hardware es mentira porque yo estuve con Ubuntu un tiempo y no veas lo que me costó encontrar un adaptador de red inalámbrica para el ordenador. -Firefox está cayendo en picado desde la versión 2. Sacaron la versión 3 y los complementos no eran compatibles y el programa en general era muy inestable y ahora con la versión 3.5 más de lo mismo -Yo uso Opera e Internet Explorer y la versión 8es una mejora atroz del navegador
35# En cierta manera tienes razón. Pero solo con una vulnerabilidad MUY GRAVE (que han tenido bastantes mas, pero bueno) y no saben que hacer. Es como si nunca se lo hubieran esperado. Y lo que es peor, los problemas que esta ocasionando su motor de javascript y eso si que va a dar problemas a largo plazo.
Chrome/Webkit se le ha adelantado en optimización y no logran salir del pozo, improvisando de malas maneras. Encima en estabilidad es superior y en cuanto exista plugins, todos irán de cabeza al navegador de Google.
Es una pena el atraso que hay en Mozilla, porque siempre me ha encantado su navegador. Pero se esta quedando rezagado a otros navegadores (Opera/Chrome)
Porque hay tantos fanaticos de IE ?? Bill les paga ? como se nota que nunca perdieron info importante en su pc por los virus que entraban gratis por IE6... Firefox no le paga a nadie, es codigo abierto! y supo conquistar al usuario con un producto excelente y sin cosas oscuras, no creo que exista la necesidad para tener rencor por otros navegadores, si te gusta IE, Opera, FF, Chrome, lo q sea, esta bien, pero no destruyan otros navegadores, cada uno sabe lo que usa y porque le gusta... va, enrealidad no, hay gente que no tiene idea y usa IE porque viene con la pc, pero bueno, cosas que pasan...
38# Como se nota que hacer copias de seguridad sigue siendo el talón de Aquiles del usuario. Todo el mundo piensa que nunca le pasará nada. Y ya no solo por el SO mediocre, si no también por el disco duro, fuente de alimentación etc etc.
Que fácil echarle la culpa a otros cuando la culpa es toda nuestra por nuestra ignorancia. Y lo peor es que esto ocurre con las empresas pequeñas muy a menudo, pensando que es ordenador es indesdructible y que nunca le pasará nada.
de los errores se aprende y uno se vuelve precabido, ahora hago backups a menudo, los cuales hasta el momento que empeze a usar firefox no tuve la necesidad de utilizar, porque no tuve que formatear mas la pc, ni de pelear contra software malicioso...! por que sera????¿¿¿¿