Incidentes de seguridad en el navegador Firefox 16

(Tomado de blogs.protegerse.com)

El popular navegador Firefox de la fundación Mozilla ha sido protagonista esta semana por varios incidentes de seguridad. El pasado martes 9 de octubre se publicó la versión 16 de este conocido navegador que corregía hasta once vulnerabilidades críticas, muchas de las cuales permitían a un atacante ejecutar remotamente código arbitrario en los sistemas que contasen con versiones vulnerables del navegador.

No obstante, al poco tiempo de publicarse esta nueva versión se descubrieron graves fallos de seguridad en la misma, provocando que Mozilla retirase la versión 16.0 de su web de descargas temporalmente y llegando a recomendar la instalación de la anterior versión 15.0.1 para evitar problemas. Un par de días más tarde Mozilla corrigió las vulnerabilidades descubiertas y lanzó la versión 16.0.1 para los sistemas Windows, Mac y Linux así como también una actualización de su versión para Android.

El fallo descubierto permitiría a un atacante descubrir las webs visitadas por los usuarios usando una web maliciosa preparada para tal efecto, a la vez que también podría acceder a las URL o a los parámetros de las mismas. No obstante el grave fallo de seguridad, no se observó ninguna web que se estuviese aprovechando del mismo.

Asimismo, otro interesante fallo de seguridad era el que nos presentaba nuestro compañero Chema Alonso a través de su blog y que nos hablaba sobre la posibilidad de instalar extensiones en Firefox de forma silenciosa. Este descubrimiento realizado por el investigador Julien Sobrier a finales de septiembre.

Este fallo de diseño permitiría que se instalasen extensiones en Firefox sin preguntar al usuario. Esto es debido a que el mecanismo usado por el sistema de registro de extensiones para registrarlas e informar al usuario es bastante sencillo, pudiendose modificar el fichero donde se almacena este registro para que el navegador piense que el usuario ya le ha dado su aprobación y no vuelva a preguntarle. En el siguiente video puede observarse todo el procedimiento con mayor detalle.

Incidentes Firefox16

Como vemos, ha sido una semana intensa para la fundación Mozilla y el navegador Firefox. Por suerte, el fallo descubierto en la versión 16 no tardó en ser subsanado y no dio tiempo a que fuese aprovechado por delincuentes. Con respecto al problema con la instalación de extensiones, esperamos que Mozilla tome buena nota de ello y lo solucione lo antes posible.

Josep Albors

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s