Dues noves vulnerabilitats al Firefox 3

26 de juny de 2008 per aljullu. Comentaris tancats

Fa poc vam assistir al descobriment de la primera vulnerabilitat del Firefox 3, a dia d’avui se n’han descobert algunes més:

  1. Ara fa un any us vam parlar d’una vulnerabilitat que afectava a l’Internet Explorer tenint el Firefox instal·lat. Fa pocs dies es va descobrir que entre el Safari i l’Explorer passa una cosa semblant. Finalment, Billy (BK) Rios, va publicar fa una setmana al seu bloc que el Safari i el Firefox també podrien estar “enllaçats” d’aquesta manera i veure’s afectats per la vulnerabilitat.

BK on Safari, hunting Firefox…” – Billy (BK) Rios

  1. També es va publicar una vulnerabilitat a SecurityFocus segons la qual es pot tenir instal·lat un packet sniffer al gestor d’extensions, que fa que sempre que escrivim quelcom a un formulari, s’enviï el seu contingut a una adreça de correu electrònic.

Firefox 3.0 security bug: Extensions can STILL hide themselves” – SecurityFocus
FFsniFF (exemple de la vulnerabilitat)

Les dues vulnerabilitat afecten tant el Firefox 2.0.0.x com el Firefox 3.0, de moment Mozilla no n’ha comentat res.

Font: Kriptópolis (1)

El Firefox 2.0.0.15 retardat una setmana

21 de juny de 2008 per aljullu. 2 comentaris »

L’èxit que ha tingut el Firefox 3 no ens ha de fer oblidar les actualitzacions de seguretat. El Firefox 2.0.0.15 havia de sortir el 24 de juny, però el més possible és que s’ajorni la data de llançament a l’1 de juliol. No sabem si sol·lucionarà la vulnerabilitat trobada fa poc que afectava el Firefox 2 i el 3.

Ja s’ha trobat la primera vulnerabilitat al Firefox 3

19 de juny de 2008 per aljullu. 5 comentaris »

No fa ni 48 hores que ha sortit, i al Firefox 3 ja li han trobat una vulnerabilitat, que també afecta al Firefox 2. No se’n saben gaires detalls perquè Mozilla prefereix no fer-ho públic per preservar la seguretat dels usuaris.

L’únic que podem dir és que un usuari participant en una iniciativa de TippingPoint els va enviar aquesta possible vulnerabilitat 5 hores després del llançament del Firefox 3, els de TippingPoint la van provar als seus laboratoris i immediatament la van notificar a Mozilla.

Mozilla Firefox 3.0 Vulnerability” – DVLabs
New Security Issue Under Investigation” – Mozilla Security Blog

Mozilla preveu 50 milions de baixades el primer mes del Firefox 3

21 de maig de 2008 per aljullu. Comentaris tancats

Al bloc d’estadístiques de Mozilla han publicat una interessant entrada on intentaven fer una previsió del nombre de descàrregues que tindrà el Firefox 3 el primer mes des del seu llançament.
Basant-se en l’exemple del Firefox 2, que va tenir 22 milions de baixades (el gràfic superior mostra les baixades del Firefox 1.5 i el 2 en el seu llançament) i 8 milions d’usuaris diaris en un mes, i en el fet que els usuaris del Firefox han anat en augment indubtablement aquest darrer any i mig, estipulen que el Firefox 3 podria tenir 50 milions de baixades el primer mes i arribar als 20 milions d’usuaris diaris.

Life after Launch of Firefox 3” – Blog of Metrics

Els plans de futur de Mozilla inclouen un Firefox 3.1

20 de maig de 2008 per aljullu. Comentaris tancats

Mike Shroepfer, Vicepresident d’Enginyeria de Mozilla, ha publicat aquesta matinada un full de ruta del que serà el futur del Firefox i el motor de renderitzat Gecko. A continuació en faig un breu resum.

Firefox
  • Firefox 2.0.0.x i 3.0.x (amb el Firefox 3 canviarà la nomenclatura i només hi haurà un zero entre el primer i el darrer nombre): com ja es va fer amb el Firefox 1.5 i el 2.0, passaran sis mesos (des de la sortida del Firefox 3) en els quals coexistiran els dos navegadors amb actualitzacions de seguretat, passats aquests sis mesos la branca 2.0.0.x ja no rebrà més actualitzacions, just en aquell moment s’hauria de llançar el Firefox 3.1.
  • Firefox 3.1: sense cap precedent, es llançarà una versió x.1, aquesta inclourà algunes novetats “que no s’han pogut incloure al Firefox 3″. A més a més, aquest llançament hauria de coincidir amb el del Firefox Mobile. Estarà basat en el Gecko 1.9.1, tot i que podria ser la versió Mozilla2. Aquest llançament s’espera per a finals del 2008.
  • Firefox Mobile: coincidirà amb el Firefox 3.1, així s’assegurarà una plena compatibilitat entre ambdós. Cal recordar que Mozilla està molt interessada en reduir el consum del Firefox i millorar el seu rendiment per aplicar-ho a l’edició de mòbils.
  • Firefox 4: segur que inclourà la tecnologia Mozilla2, tot i que encara és molt d’hora per dir-ho, està previst per a mitjans-finals del 2009.
Gecko
  • Gecko 1.9.0.x: serà el motor que utilitzarà el Firefox 3.0, es llançarà finalment a finals de juny d’aquest any. El seu desenvolupament ja ha acabat.
  • Gecko 1.9.1: possiblement serà utilitzat pel Firefox 3.1 i pot ser que canviï de nom per dir-se Gecko 2.0. Aquest estiu es llançarà la primera beta i està previst que a finals d’any hi hagi la versió definitiva.
  • Mozilla2: possiblement serà utilitzat pel Firefox 4. S’espera la primera beta per a mitjans del 2009.

Crec que la versió 3.1 (el més destacable de l’anunci) és una aposta arriscada però a la vegada una bona estratègia per guanyar-se un tall del pastís dels navegadors de mòbils. Tot i això, valoro molt positivament que no es facin versions “tan grans” però que a la vegada tarden tant de temps desenvolupant-se, com a passat amb el Firefox 3. No era d’això, del que ens queixàvem de l’Internet Explorer?

Firefox 2.0.0.14

17 d'abril de 2008 per aljullu. Comentaris tancats

Aquesta matinada Mozilla ha alliberat la versió 2.0.0.14, que corregeix vint-i-un problemes i una vulnerabilitat crítica, relacionada amb el col·lector d’escombraries de JavaScript.

INFO: notes de la versió

INFO: notes de l’elaboració de la versió
INFO: llista de vulnerabilitats corregides

Entre avui i demà rebreu l’actualització, però si no podeu esperar heu d’anar a “Ajuda”→”Comprova si hi ha actualitzacions”. Sinó, aquí teniu els enllaços a les descàrregues:

Firefox 2.0.0.13

26 de març de 2008 per aljullu. Comentaris tancats

Ja fa quasi set setmanes que es va alliberar el Firefox 2.0.0.12 i finalment aquesta matinada Mozilla ha alliberat la versió 2.0.0.13.

Aquesta actualització corregeix sis vulnerabilitats, dues de les quals són crítiques i dues més de perillositat alta.

INFO: notes de la versió
INFO: notes de l’elaboració de la versió
INFO: llista de vulnerabilitats corregides

Entre avui i demà rebreu l’actualització, però si no podeu esperar heu d’anar a “Ajuda”→”Comprova si hi ha actualitzacions”. Sinó, aquí teniu els enllaços a les descàrregues:

L’IE Tab deixa de funcionar amb el Firefox 2

13 de març de 2008 per aljullu. Comentaris tancats

Fa un parell de setmanes, Alex Polvi va anunciar que Mozilla regalarà una samarreta a tots els desenvolupadors que hagin actualitzat la seva extensió perquè sigui compatible amb el Firefox 3 abans del dimarts que ve.

Aquesta és una bona mesura per incentivar als desenvolupadors d’extensions a actualitzar-les per la nova versió; Mozilla no es vol trobar amb el mateix problema que hi va haver amb la sortida del Firefox 2, que moltes extensions van deixar de funcionar.

Però aquesta proposta també pot portar problemes, com és el cas de l’extensió IE Tab. L’IE Tab és una extensió que permet obrir una pestanya del Firefox utiltizant el motor de renderitzat de l’Internet Explorer (el Trident) perquè les pàgines que no segueixen els estàndards es vegin bé.

Però els dos desenvolupadors, PCMan (Hong Jen Yee) i yuoo2k, amb la darrera actualització l’han fet compatible amb el Firefox 3 però ha deixat de ser compatible amb el Firefox 2!

Cal dir que feia quasi un any que no s’actualitzava l’extensió, i que és una de les més descàrregades i utilitzades. Esperem que el problema se sol·lucioni ràpid, perquè hem de recordar que de moment la versió estable del Firefox segueix sent la 2.

Font: Zona Firefox (1)

Ja s’ha trobat una nova vulnerabilitat al Firefox 2.0.0.12

10 de febrer de 2008 per aljullu. Comentaris tancats

Des de 0×000000, Ronald van den Heetkamp ens informa d’una vulnerabilitat que afecta, entre altres versions, al Firefox 2.0.0.12.

Utilitzant el protocol view-source: es pot accedir a tots als arxius situats al directori resource:///, per tant als de C:/Program Files/Mozilla Firefox/ (en un Windows). Amb això poden accedir a totes les preferències i galetes (cookies) que tenim emmagatzemades al Firefox i a qualsevol fitxer que tinguem a la carpeta del programa. A mozilla.org n’han publicat un exemple, al entrar-hi ens mostra les nostres preferències del Firefox.

A 0×000000 ens proposen canviar de navegador (no cal ser tan radical) o instal·lar l’extensió NoScript.

Mike Shaver (desenvolupador informàtic de Mozilla) ha comentat al seu bloc que en realitat aquesta vulnerabilitat va ser trobada el 16 maig del 2007 per ha.ckers.org i que té molt poca importància, ja que, de fet, no es pot accedir a informació personal de l’usuari. A Mozilla Links es pregunten si realment pot ser anomenada vulnerabilitat: des d’una correcció al Firefox 2.0.0.4 no es pot accedir a arxius del sistema a través d’aquest sistema.

Firefox Vulnerable By Default.” – 0×000000
Firefox URI Spoofing Revisited.” – 0×000000
Browsing The Browser.” – 0×000000
view-source/resource “vulnerability” does not expose personal information” – shaver
(Sort of) Firefox resource: vulnerability” – Mozilla Links
Read Firefox Settings (PoC)“- ha.ckers.org (maig del 2007)

Actualitzat (11/02/08 – 15:40): inclosa nova informació, tercera nova de 0x000000x l’escrit de Shaver i l’enllaç a la mostra de la vulnerabilitat.

Firefox 2.0.0.12

8 de febrer de 2008 per aljullu. Comentaris tancats

Feia un parell de mesos que el Firefox 2 no s’actualitzava i finalment s’ha alliberat la versió 2.0.0.12 del Firefox, pocs dies després del previst per un problema amb la Release Candidate 2.

Aquesta actualització corregeix deu vulnerabilitats, tres de les quals són crítiques. Entre elles trobem l’error en els diàlegs d’autentificació i la vulnerabilitat a través de les extensions, que ja vam dir que sol·lucionarien.

INFO: notes de la versió
INFO: notes de l’elaboració de la versió
INFO: llista de vulnerabilitats corregides

Entre avui i demà rebreu l’actualització, però si no podeu esperar heu d’anar a “Ajuda”→”Comprova si hi ha actualitzacions”. A acabar, aquí teniu els enllaços a les descàrregues:

« Articles més antics
Articles més recents »