Secuoyas. Interactive communication and motion graphics

Se ha iniciado la caza y captura de los fallos en Firefox 2.0 como en Internet Explorer 7.0, ambos liberados este mes.

En cuanto salió el IE7, Secunia anunció lo que algunos llamaron “la primera vulnerabilidad” en el recién estrenado navegador. Y unos días después, un segundo agujero era descubierto.

Sin embargo, hasta donde nosotros mismos hemos podido comprobar, ambos problemas afectan también al Internet Explorer 5 y 6, y al menos uno de ellos, es un fallo nunca corregido por Microsoft. En ambos casos es fácil evitar el problema.

Según el primer reporte de Secunia, divulgado el mismo día de la salida oficial del IE7 (19 de octubre de 2006), un sitio malicioso podría acceder a datos de otros sitios cargados en otras ventanas del navegador abiertas. Por ejemplo, si accedes a un sitio de confianza para realizar sus actividades bancarias en línea, y al mismo tiempo visitas en otra ventana un sitio controlado por un pirata, el sitio maligno podría obtener la información intercambiada con tu banco.

Los desarrolladores de Microsoft, el mismo día que se reveló la debilidad, afirmaron en su blog de seguridad, que el problema anunciado no se encuentra en el IE7, sino en un componente de Windows, el cuál afecta específicamente al Outlook Express, pero que puede utilizar como vector de ataque al navegador.

La segunda vulnerabilidad, también reportada por Secunia esta misma semana, permite que se abra una ventana emergente con un contenido falsificado, pero con el título de un sitio verdadero visitado por el usuario, lo que podría ser utilizado en ataques de phishing. El problema se produce no solo en el IE7, sino también en el IE6 con todos los parches actualizados. Al momento de publicarse este artículo, no tenemos referencias de que se trate de una vulnerabilidad recientemente descubierta, o de alguna existente que no haya sido aún solucionada por Microsoft.

En su blog de seguridad, Microsoft reconoce el problema, pero indica que el nuevo filtro anti-phishing del IE7 puede ayudar al usuario a no ser engañado por un sitio malicioso en casos como éste.

El filtro anti-phishing actúa de dos maneras, una de ellas realizando un análisis heurístico de las páginas Web visitadas, y avisando al usuario cuando existen en las mismas características peligrosas. La otra, es a través de la base de datos de sitios que falsifican páginas verdaderas, la cuál es constantemente actualizada, y cuyo contenido es informado al navegador en tiempo real.

Pero el filtro anti-phishing, al contrario del que también incorpora el Firefox, no está activado por defecto.

De cualquier modo, ninguno de los dos problemas puede ser catalogado como crítico.

Lo mismo ocurre con los dos fallos localizados en el Firefox 2.0, a pesar de lo que claman algunas listas de seguridad.

Según Window Snyder, la nueva jefa de seguridad de Mozilla (ex integrante del equipo de Microsoft), estos anuncios “sólo son puro ruido”. Ninguno de los dos asuntos representa un riesgo verdadero para los usuarios de Firefox, según Snyder.

Uno de los problemas está relacionado con una vulnerabilidad corregida en una versión anterior de Firefox, y en un informe enviado a la lista Bugtraq, fue catalogado como crítico.

Pero Snyder afirma que esto es inexacto. Ella dice que la vulnerabilidad realmente fue solucionada en su momento, y la ahora detectada es un problema secundario, aunque relacionado, y que solo puede hacer que Firefox deje de responder o se cierre.

“Se trata de una denegación de servicio, el programa sólo deja de responder,” dice Snyder. “De todos modos lo examinaremos para cerciorarnos que no hay realmente nada allí.”

El segundo informe, publicado en la lista Full Disclosure, menciona la existencia de un problema en Firefox 2.0 que podría ser explotado para engañar al usuario y obligarlo a revelar información confidencial. Pero la información aportada no es suficiente para que Mozilla determine si realmente hay un problema.

Otra vez Snyder asegura no tener datos suficientes para identificar el fallo, si es que éste realmente existe. “Si obtenemos más información, entonces lo investigaremos,” dijo.

Internet Explorer 7 y Firefox 2, han puesto todo su énfasis en la seguridad, y ambos fueron publicados apenas con unos días de diferencia.

Características como filtros anti-phishing, y protección contra ejecución de software malicioso al visitar una página Web, son comunes en ambos, aunque cada uno utilice su propia técnica para implementarlas.

Tanto Mozilla como Microsoft, ahora parecen coincidir en pedir una actitud responsable a los cazadores de bugs.

Para Mike Schroepfer, vicepresidente de ingeniería de Mozilla, los investigadores son libres de buscar errores en Firefox. “Sin embargo,” dijo, “esos bugs deberían ser informados responsablemente a Mozilla, en vez de revelarlos antes públicamente”.

“Es muy importante que la comunidad de la seguridad trabaje tan duro para ayudarnos a identificar los fallos,” dijo Snyder. “Una vez que ellos son identificados, podemos corregirlos rápidamente.”

Enlaces de interés.

• http://blogs.technet.com/msrc/archive/2006/10/26/
• http://blogs.technet.com/msrc/archive/2006/10/19/
• http://secunia.com/advisories/22542/
• http://secunia.com/advisories/22477/
• http://www.mozilla.org/security/announce/2006/mfsa2006-59.html
• http://www.securityfocus.com/bid/19488/info
• http://www.securityfocus.com/archive/1/449726/30/0/threaded
• http://seclists.org/fulldisclosure/2006/Oct/0501.html

Esta entrada fue publicada el Martes, 5 de Diciembre de 2006 a las 10:31 y está clasificada bajo: General. Puede hacer un seguimiento de los comentarios de esta entrada gracias al feed RSS 2.0. Puede dejar un comentario, o enviar un trackback desde su sitio.

• Enviar a:
• Menéame
• Technorati
• Yahoo
• Digg
• Del.icio.us
• Fresqui