(Por Rubén Borlenghi, el Microsaurio) Hay un nuevo zorro de fuego, recién salido del horno, que trae parches en vez de pan debajo del brazo, mediante los cuales se combaten algunos métodos de ataque realmente sorprendentes Pero no sólo de seguridad vive el hombre, también -afirman los mozíllidos- es lo mejorcito que hay en navegadores. Si ellos lo dicen…
Yo creo que no podían decir otra cosa. Pero mensajes marketineros aparte (aunque sea un producto gratuito, el léxico de marketing lo tienen pegadísimo) la semana pasada hubo parches al por mayor por los pagos del Mozilla, para evitar variados ataques. Y de verdad uno de ellos me sorprendió por lo novedoso
La cosa es así:
- Diez notas de seguridad, que aluden a sendas vulnerabilidades:
- Siete están calificadas como “críticas” que es lo máximo en la escala del departamento de seguridad de Mozilla Org: el atacante podría entrar en el sistema sin otro movimiento, por parte del usuario, que la visita -con el navegador- a una página que contenga código malicioso.
- Una es de riesgo “alto”; eso significa robo de información, por ejemplo, o usar el navegador de un usuario inocente para inyectar código en un website.
- Dos son “moderadas”, lo cual quiere decir que el usuario, además de visitar una página donde haya código malicioso, tiene que hacerle clic a algo, o aceptar una descarga de un archivo a su máquina, por ejemplo.
Software afectado:
- Firefox –> solucionado en Firefox 7.0 y Firefox 3.6.23, según sea el caso
- Thunderbird –> solucionado en Thunderbird 7.0
- SeaMonkey –> solucionado en SeaMonkey 2.4
La “vulnerabilidad llamativa” que mencioné antes: usando Firefox (sin actualizar) te pueden empomar si mantenés apretada la tecla “Enter” mientras estás visitando un website.
¿¿Perdón??¿¿Cóóóómo??¿Sólo con mantener apretado “Enter”?
Yes, my friend.
Te sauriotradizco/adapto la comunicación de Mariusz Mlynski (no, no es tucumano) a la gente de Mozilla, donde menciona dos fallas relacionadas con “Enter”
“…si se logra convencer a un usuario de que mantenga apretada la tecla Enter como parte de un juego, por ejemplo, una página que contenga código malicioso puede mostrar una ventana de diálogo “Descarga”, y entonces podría quedar pulsado por “Enter” el botón (en esa ventana) que abre o ejecuta lo que se descarga; esto puede producir dos efectos: que aparezca sólo un Pop Up molesto, o que se ejecute malware…”
Una segunda falla relacionada con cómo los Firefox anteriores interpretaban la pulsación de Enter, informada también por Mlynski, está relacionada con la instalación manual de plug-ins (los Agregados); se podía crear un error interno, sin cartel de alarma, que suprimiera el diálogo de confirmación al estilo de “¿Desea usted instalar esto??” y un atacante podría lograr la instalación de un plug in malsano. Se me ocurre, por ejemplo, que te podrían meter un plug in que mandara a alguna URL todo lo que estuviera compuesto por secuencias de números con la misma estructura de las tarjetas de crédito.
Así que… a actualizar se ha dicho, no sea cosa que los agarren sin los perros. Posdata: no, los de Mozilla no solucionaron el problema de BEAST (el de TLS) que mencioné en mi nota sobre la Eko. Paciencia…