Ahir es va publicar una prova que demostrava que es pot penjar el Firefox amb un simple fitxer XML modificat maliciosament. La vulnerabilitat va ser descoberta per Guido Landi i a més de fer que el Firefox deixi de respondre podria executar codi maliciós.
Des de Mozilla han classificat la vulnerabilitat com ha crítica i confirmen que ja tenen la solució preparada, però la versió 3.0.8 encara tardarà uns dies per passar tot el procés de proves, malgrat que s’avança 15 dies.
Afecta a totes les versions a tots els sistemes operatius. L’única recomanació al respecte és no visitar pàgines sospitoses.
BUGZILLA: Bug 485217
20 de desembre de 2008 per aljullu. Comentaris tancats
Fa pocs dies l’empresa de seguretat informàtica Bit9 va publicar una llista amb les aplicacions més vulnerables per a Windows, el Firefox 2.0 i 3.0 ocupaven el primer lloc d’aquesta llista.
La llista no utilitza dades correctes: considera vulnerable una aplicació pel nombre de vulnerabilitats crítiques descobertes. D’aquesta manera les empreses que amaguen els seus problemes de seguretat es veuen premiats i, en canvi, les empreses que fan públiques totes les vulnerabilitats que troben, com Mozilla, es veuen perjudicades.
A més a més, aquest estudi tampoc compta els dies que passen entre que es notifica una vulnerabilitat i que se soluciona.
“Threats in Plain Sight: Bit9 Identifies ‘The Dirty Dozen’ – 2008’s Most Popular Applications with Critical Security Vulnerabilities” – Bit9
“The Importance of Good Metrics” – Mozilla Security Blog
11 de desembre de 2008 per aljullu. Comentaris tancats
Els que ens seguiu des dels primers dies potser recordareu que el setembre del 2006 Windows Snyder, fins llavors directora de seguretat de Microsoft, va incorporar-se a Mozilla. Des d’aquell moment havia estat el màxim exponent de la seguretat del Firefox i altres productes de Mozilla.
Aquesta matinada ha publicat un article al bloc de seguretat de Mozilla explicant que a finals d’any deixarà el seu càrrec dins la Fundació i s’embrancarà en un projecte que sempre “l’ha apassionat”, tot i que no especifica quin és.
Malgrat que es tracta, sense dubte, d’una gran pèrdua per Mozilla, deixa la seguretat en mans de persones tant importants com Johnathan Nightingale, Lucas Adamski, Brandon Sterne i Mike Shaver.
“Leaving Mozilla” – Mozilla Security Blog
bloc personal
biografia a la Viquipèdia en anglès
6 de desembre de 2008 per aljullu. Comentaris tancats
BitDefender ha notificat en una nota de premsa que s’ha trobat un cavall de Troia (trojan) que es fa passar pel Greasemonkey, una de les extensions més populars del Firefox, i un cop instal·lat registra les nostres dades d’entitats bancàries.
El caval de Troia instal·la dos fitxers als directoris del Firefox:
C:\Archivos de programa\Mozilla Firefox\plugins\npbasic.dll
C:\Archivos de programa\Mozilla Firefox\chrome\chrome\content\browser.js
*la part subratllada varia depenent de la versió i de l’idioma del Windows
i enregistra les dades que l’usuari dóna a algunes pàgines en concret, la majoria d’entitats bancàries. Per desgràcia la moltes caixes dels Països Catalans i d’Espanya es troben a la llista, com també altres entitats internacionals com PayPal. Aquestes dades (que inclouen el compte d’usuari i la contrasenya) s’envien al servidor dels atacans, que s’ha descobert que es troba a Rússia.
Sense dubte la perillositat d’aquest cavall de Troia és molt elevada. L’única part positiva és que, de moment, no està gaire escampat i que només afecta a sistemes Windows. Malgrat això, es recomana instal·lar extensions només del web oficial de Mozilla i revisar els dos directoris nombrats a dalt, en cas que trobéssim els dos fitxers infectats hauríem de tancar el Firefox i esborrar-los.
Pàgina d’informació i nota de premsa de BitDefender
“Alertan de un troyano que captura claves bancarias” – Kriptópolis
12 de setembre de 2008 per aljullu. Comentaris tancats
Després del llançament de la versió prèvia del Google Chrome amb una mode de navegació privada, una funcionalitat que ja inclou el Safari des de fa tres anys i que inclourà d’aquí a poc l’Internet Explorer 8, a Mozilla han decidit incorporar-la també al Firefox per no perdre aquesta batalla, petita però important, de la Segona Guerra de Navegadors.
En realitat estava previst que el Firefox 3.0 ja la inclogués, però al final no va ser així i ens toca esperar-nos al 3.1. Per navegacio privada entenem un mode de navegació mitjançant el qual podem fer que el nostre navegador no emmagatzemi cap dada del que hem fet (galetes, historial, formularis, descàrregues…). Popularment es coneix com a “mode porno“, ja que permet entrar a les pàgines que vulguem sense que ningú se n’assabenti després.
El procés funcionaria amb dues parts: es crearia un perfil especial per a aquella sessió que s’esborraria un cop acabéssim, així no quedaria cap dada al nostre perfil; l’altra part consistiria en fer que el Firefox no escrivís res als arxius del disc, com reconeixen a Mozilla, aquesta segona part és més complicada perquè exigeix revisar tot el codi del programa. També s’ha de decidir encara com serà la interfície mentre naveguem d’aquesta manera; hi ha una proposta que suggereix canviar el color de la barra d’ubicació i de cerca per un més fosc i una altra proposta que suggereix canviar el color de tota la interfície del Firefox per un color també fosc.
Encara s’està començant el desenvolupament d’aquesta funcionalitat, a la qual se li ha assignat una prioritat de nivell dos, tot i que ja s’han alliberat els primers binaris de prova i s’espera que la poguem trobar a les primeres beta del Firefox 3.1. Mentrestant ens podem conformar amb les extensions Stealther o Distrust.
2 de juliol de 2008 per aljullu. Comentaris tancats
A Techzom han publicat un interessant article comparant el percentatge d’usuaris de cada navegador principal (Internet Explorer, Firefox, Safari i Opera) que utilitzen la versió més actualitzada (i per tant, segura).
Afortunadament, els usuaris del Firefox som els que anem millor en aquest sentit, i un 83,3% dels usuaris ho fem amb la darrera versió (sigui de la branca 2.0.0.x o 3.0.x). A molta distància ens segueix el Safari (65,3%), l’Opera (56,1%) i, per últim, l’Internet Explorer (47,6%).
Des de l’estudi valoren positivament el sistema d’actualitzacions automàtiques del Firefox, que permet que en qüestió d’un parell de dies s’actualitzin quasi tots els usuaris.
“Examination of vulnerable online Web browser populations and the “insecurity iceberg” – Techzom
26 de juny de 2008 per aljullu. Comentaris tancats
Fa poc vam assistir al descobriment de la primera vulnerabilitat del Firefox 3, a dia d’avui se n’han descobert algunes més:
- Ara fa un any us vam parlar d’una vulnerabilitat que afectava a l’Internet Explorer tenint el Firefox instal·lat. Fa pocs dies es va descobrir que entre el Safari i l’Explorer passa una cosa semblant. Finalment, Billy (BK) Rios, va publicar fa una setmana al seu bloc que el Safari i el Firefox també podrien estar “enllaçats” d’aquesta manera i veure’s afectats per la vulnerabilitat.
“BK on Safari, hunting Firefox…” – Billy (BK) Rios
- També es va publicar una vulnerabilitat a SecurityFocus segons la qual es pot tenir instal·lat un packet sniffer al gestor d’extensions, que fa que sempre que escrivim quelcom a un formulari, s’enviï el seu contingut a una adreça de correu electrònic.
“Firefox 3.0 security bug: Extensions can STILL hide themselves” – SecurityFocus
FFsniFF (exemple de la vulnerabilitat)
Les dues vulnerabilitat afecten tant el Firefox 2.0.0.x com el Firefox 3.0, de moment Mozilla no n’ha comentat res.
L’èxit que ha tingut el Firefox 3 no ens ha de fer oblidar les actualitzacions de seguretat. El Firefox 2.0.0.15 havia de sortir el 24 de juny, però el més possible és que s’ajorni la data de llançament a l’1 de juliol. No sabem si sol·lucionarà la vulnerabilitat trobada fa poc que afectava el Firefox 2 i el 3.
No fa ni 48 hores que ha sortit, i al Firefox 3 ja li han trobat una vulnerabilitat, que també afecta al Firefox 2. No se’n saben gaires detalls perquè Mozilla prefereix no fer-ho públic per preservar la seguretat dels usuaris.
L’únic que podem dir és que un usuari participant en una iniciativa de TippingPoint els va enviar aquesta possible vulnerabilitat 5 hores després del llançament del Firefox 3, els de TippingPoint la van provar als seus laboratoris i immediatament la van notificar a Mozilla.
“Mozilla Firefox 3.0 Vulnerability” – DVLabs
“New Security Issue Under Investigation” – Mozilla Security Blog
Fa uns dies, a SomGNU, publicaven una notícia en la qual comentaven un possible bug del Firefox 3 sota GNU/Linux que feia que empitjorés el seu rendiment. Ahir, Mike Shaver ha publicar una nota explicant el problema; a Mozilla Hispano en van fer un resum, que intentaré explicar aquí.
El Firefox 3 desa les adreces d’interès, les baixades, l’historial, etc. en el format SQLite, que té un problema de rendiment en els sistemes GNU/Linux que utilitzen un sistema d’arxiu ext3 (tot i això, segueix sent més ràpida que MySQL o Oracle). Millorar el rendiment en aquest aspecte, implicaria un major risc de pèrdua d’aquestes dades. La funció fsync, la culpable del problema, pot estar en Full, Normal o OFF, Mozilla per defecte la posa a Full, és a dir, més seguretat però menys rendiment.
Tot i això, a partir d’ara, des d’about:config podrem accedir a la cadena toolkit.storage.synchronous, que ens permetrà canviar aquest valor per ajustar-lo com vulguem.
És a dir, el problema no és ni de Mozilla, ni del Firefox, sinó del sistema de fitxers ext3, que ja l’han sol·lucionat per la versió ext4, que cada cop més distribucions suporten gràcies a la versió 2.6.25 del nucli de Linux, però que encara no està prou implementada.
“Com instal·lar Firefox 3 RC1 a Ubuntu Hardy” – SomGNU
“fsyncers and curveballs” – shaver.off.net
“Aclaración a los problemas de rendimiento de Firefox 3 en Linux” – Mozilla Hispano
BUGZILLA: Bug 421482
