No fa ni 48 hores que ha sortit, i al Firefox 3 ja li han trobat una vulnerabilitat, que també afecta al Firefox 2. No se’n saben gaires detalls perquè Mozilla prefereix no fer-ho públic per preservar la seguretat dels usuaris.

L’únic que podem dir és que un usuari participant en una iniciativa de TippingPoint els va enviar aquesta possible vulnerabilitat 5 hores després del llançament del Firefox 3, els de TippingPoint la van provar als seus laboratoris i immediatament la van notificar a Mozilla.

“Mozilla Firefox 3.0 Vulnerability” – DVLabs
“New Security Issue Under Investigation” – Mozilla Security Blog

Fa uns dies, a SomGNU, publicaven una notícia en la qual comentaven un possible bug del Firefox 3 sota GNU/Linux que feia que empitjorés el seu rendiment. Ahir, Mike Shaver ha publicar una nota explicant el problema; a Mozilla Hispano en van fer un resum, que intentaré explicar aquí.

El Firefox 3 desa les adreces d’interès, les baixades, l’historial, etc. en el format SQLite, que té un problema de rendiment en els sistemes GNU/Linux que utilitzen un sistema d’arxiu ext3 (tot i això, segueix sent més ràpida que MySQL o Oracle). Millorar el rendiment en aquest aspecte, implicaria un major risc de pèrdua d’aquestes dades. La funció fsync, la culpable del problema, pot estar en Full, Normal o OFF, Mozilla per defecte la posa a Full, és a dir, més seguretat però menys rendiment.

Tot i això, a partir d’ara, des d’about:config podrem accedir a la cadena toolkit.storage.synchronous, que ens permetrà canviar aquest valor per ajustar-lo com vulguem.

És a dir, el problema no és ni de Mozilla, ni del Firefox, sinó del sistema de fitxers ext3, que ja l’han sol·lucionat per la versió ext4, que cada cop més distribucions suporten gràcies a la versió 2.6.25 del nucli de Linux, però que encara no està prou implementada.

“Com instal·lar Firefox 3 RC1 a Ubuntu Hardy” – SomGNU
“fsyncers and curveballs” – shaver.off.net
“Aclaración a los problemas de rendimiento de Firefox 3 en Linux” – Mozilla Hispano
BUGZILLA: Bug 421482

Des de 0×000000, Ronald van den Heetkamp ens informa d’una vulnerabilitat que afecta, entre altres versions, al Firefox 2.0.0.12.

Utilitzant el protocol view-source: es pot accedir a tots als arxius situats al directori resource:///, per tant als de C:/Program Files/Mozilla Firefox/ (en un Windows). Amb això poden accedir a totes les preferències i galetes (cookies) que tenim emmagatzemades al Firefox i a qualsevol fitxer que tinguem a la carpeta del programa. A mozilla.org n’han publicat un exemple, al entrar-hi ens mostra les nostres preferències del Firefox.

A 0×000000 ens proposen canviar de navegador (no cal ser tan radical) o instal·lar l’extensió NoScript.

Mike Shaver (desenvolupador informàtic de Mozilla) ha comentat al seu bloc que en realitat aquesta vulnerabilitat va ser trobada el 16 maig del 2007 per ha.ckers.org i que té molt poca importància, ja que, de fet, no es pot accedir a informació personal de l’usuari. A Mozilla Links es pregunten si realment pot ser anomenada vulnerabilitat: des d’una correcció al Firefox 2.0.0.4 no es pot accedir a arxius del sistema a través d’aquest sistema.

“Firefox Vulnerable By Default.” – 0×000000
“Firefox URI Spoofing Revisited.” – 0×000000
“Browsing The Browser.” – 0×000000
“view-source/resource “vulnerability” does not expose personal information” – shaver
“(Sort of) Firefox resource: vulnerability” – Mozilla Links
“Read Firefox Settings (PoC)“- ha.ckers.org (maig del 2007)

Actualitzat (11/02/08 – 15:40): inclosa nova informació, tercera nova de 0x000000x l’escrit de Shaver i l’enllaç a la mostra de la vulnerabilitat.