Jueves 26 de octubre de 2006

Firefox 2.0, Internet Explorer 7, fallo a fallo

Por Jose Luis Lopez

Los cazadores de fallos, parecen haber iniciado una carrera para descubrir nuevos problemas de seguridad tanto en Firefox 2.0 como en Internet Explorer 7.0, ambos liberados este mes.

Apenas salido al mercado el IE7, Secunia anunció lo que algunos llamaron "la primera vulnerabilidad" en el recién estrenado navegador. Y unos días después, un segundo agujero era descubierto.

Sin embargo, hasta donde nosotros mismos hemos podido comprobar, ambos problemas afectan también al Internet Explorer 5 y 6, y al menos uno de ellos, es un fallo nunca corregido por Microsoft. En ambos casos es fácil evitar el problema.

Según el primer reporte de Secunia, divulgado el mismo día de la salida oficial del IE7 (19 de octubre de 2006), un sitio malicioso podría acceder a datos de otros sitios cargados en otras ventanas del navegador abiertas. Por ejemplo, si usted ingresa a un sitio de confianza para realizar sus actividades bancarias en línea, y al mismo tiempo visita en otra ventana un sitio controlado por un pirata, el sitio maligno podría obtener la información intercambiada con su banco.

Los desarrolladores de Microsoft, el mismo día de revelada la debilidad, afirmaron en su blog de seguridad, que el problema anunciado no se encuentra en el IE7, sino en un componente de Windows, el cuál afecta específicamente al Outlook Express, pero que puede utilizar como vector de ataque al navegador.

La segunda vulnerabilidad, también reportada por Secunia esta misma semana, permite que se abra una ventana emergente con un contenido falsificado, pero con el título de un sitio verdadero visitado por el usuario, lo que podría ser utilizado en ataques de phishing. El problema se produce no solo en el IE7, sino también en el IE6 con todos los parches actualizados. Al momento de publicarse este artículo, no tenemos referencias de que se trate de una vulnerabilidad recientemente descubierta, o de alguna existente que no haya sido aún solucionada por Microsoft.

En su blog de seguridad, Microsoft reconoce el problema, pero indica que el nuevo filtro anti-phishing del IE7, puede ayudar al usuario a no ser engañado por un sitio malicioso en casos como éste.

El filtro anti-phishing actúa de dos maneras, una de ellas realizando un análisis heurístico de las páginas web visitadas, y avisando al usuario cuando existen en las mismas características peligrosas. La otra, es a través de la base de datos de sitios que falsifican páginas verdaderas, la cuál es constantemente actualizada, y cuyo contenido es informado al navegador en tiempo real.

Pero el filtro anti-phishing, al contrario del que también incorpora el Firefox, no está activado por defecto.

De cualquier modo, ninguno de los dos problemas puede ser catalogado como crítico.

Lo mismo ocurre con los dos fallos reportados en el Firefox 2.0, a pesar de lo que claman algunas listas de seguridad.

Según Window Snyder, la nueva jefa de seguridad de Mozilla (ex integrante del equipo de Microsoft), estos anuncios "solo son puro ruido". Ninguno de los dos asuntos representan un riesgo verdadero para los usuarios de Firefox, según Snyder.

Uno de los problemas está relacionado con una vulnerabilidad corregida en una versión anterior de Firefox, y en un informe enviado a la lista Bugtraq, fue catalogado como crítico.

Pero Snyder afirma que esto es inexacto. Ella dice que la vulnerabilidad realmente fue solucionada en su momento, y la ahora detectada es un problema secundario, aunque relacionado, y que solo puede hacer que Firefox deje de responder o se cierre.

"Se trata de una denegación de servicio, el programa solo deja de responder," dice Snyder. "De todos modos lo examinaremos para cerciorarnos que no hay realmente nada allí."

El segundo informe, publicado en la lista Full Disclosure, menciona la existencia de un problema en Firefox 2.0 que podría ser explotado para engañar al usuario y obligarlo a revelar información confidencial. Pero la información aportada no es suficiente para que Mozilla determine si realmente hay un problema.

Otra vez Snyder asegura no tener datos suficientes para identificar el fallo, si es que éste realmente existe. "Si obtenemos más información, entonces lo investigaremos," dijo.

Internet Explorer 7 y Firefox 2, han puesto todo su énfasis en la seguridad, y ambos fueron publicados apenas con unos días de diferencia (de todos modos, la versión en español del IE aún no está disponible, al contrario del Firefox, que desde el día de su lanzamiento tenía versiones en nuestro idioma).

Características como filtros anti-phishing, y protección contra ejecución de software malicioso al visitar una página Web, son comunes en ambos, aunque cada uno utilice su propia técnica para implementarlas.

Tanto Mozilla como Microsoft, ahora parecen coincidir en pedir una actitud responsable a los cazadores de bugs.

Para Mike Schroepfer, vicepresidente de ingeniería de Mozilla, los investigadores son libres de buscar errores en Firefox. "Sin embargo," dijo, "esos bugs deberían ser informados responsablemente a Mozilla, en vez de revelarlos antes públicamente".

"Es muy importante que la comunidad de la seguridad trabaje tan duro para ayudarnos a identificar los fallos," dijo Snyder. "Una vez que ellos son identificados, podemos corregirlos rápidamente."

La verdadera lección en todo esto, debería ser no confiar en que tal o cuál navegador pueda ser más seguro que otro.

Más allá de preferencias personales, es importante reconocer que no existe ni existirá jamás un programa totalmente seguro. Aún cuando el software mejore sus prestaciones, y se agreguen mejores herramientas para protegernos, el componente más importante de la seguridad informática no es la tecnología, sino las personas.

Del mismo modo que no abrimos las puertas de nuestras casas a cualquier extraño que se presente, deberíamos tener en cuenta nuestra actitud al navegar. Internet no es algo muy diferente a la calle, con sus mismos peligros, y las mismas precauciones a la hora de transitar por ella.


Más información:

IE Address Bar Issue
Welcome to the Microsoft Security Response Center Blog! : IE Address Bar Issue

Information on Reports of IE 7 Vulnerability
Welcome to the Microsoft Security Response Center Blog! : Information on Reports of IE 7 Vulnerability

Internet Explorer 7 Popup Address Bar Spoofing Weakness
Internet Explorer 7 Popup Address Bar Spoofing Weakness - Advisories - Secunia

Internet Explorer 7 "mhtml:" Redirection Information Disclosure
Internet Explorer 7 "mhtml:" Redirection Information Disclosure - Advisories - Secunia

Mozilla Foundation Security Advisory 2006-59
MFSA 2006-59: Concurrency-related vulnerability

Mozilla Firefox JavaScript Handler Race Condition Memory Corruption Vulnerability
Mozilla Firefox JavaScript Handler Race Condition Memory Corruption Vulnerability

Mozilla Firefox JavaScript Handler Race Condition Memory Corruption Vulnerability
SecurityFocus

xxs in Firefox 2.0 ?
Full Disclosure: xxs in Firefox 2.0 ?
__________________

Fuente: VSantivirus.com
Firefox 2.0, Internet Explorer 7, fallo a fallo

Un artículo sobre el nuevo Firefox; ¡ojo!, es de un diario "socio" de "Mocosoft" que no le queda otra que reconocer la verdad

Lanzan la nueva versión del Firefox

Se trata del navegador gratuito que más terreno logró ganarle al Explorer. La versión 2 presenta numerosas mejoras y sale a la luz a poco de conocerse el nuevo browser de Microsoft. Conozca en detalle este producto

Finalmente, llegó el anuncio oficial: la Fundación Mozilla puso a disposición de los internautas la versión 2.0 del Firefox, el navegador gratuito que desde hace dos años araña de a poco la supremacía del Internet Explorer.

La versión reemplaza a la 1.5 y presenta numerosas mejoras: herramienta antiphishing, lector RSS/XML más sencillo de utilizar, corrector ortográfico, restaurador automático de una sesión si el browser se cierra abruptamente… en la página del producto se anuncia que son más de 15 las mejoras.

El lanzamiento del Firefox 2 se produce a poco de la salida del Internet Explorer de Windows, que incorpora elementos ya presentes en el producto de Mozilla y el Opera, otro browser gratuito.

La primera versión del Firefox fue lanzada en noviembre del 2004 y desde esa fecha logró obtener casi el 11% del mercado mundial, del cual el Internet Explorer posee el 86%.

La “creación” de la versión 2 demandó más de tres meses de pruebas y la colaboración de todos los usuarios, los cuales pudieron aportar sus ideas y corregir errores.
Con ese sentimiento en mente, el 27 de octubre se organizaron más de 400 fiestas alrededor del mundo para festejar el lanzamiento del Firefox 2. En la Argentina, también hay un puñado de reuniones de las cuales se puede participar.

Las mejoras
Quizás una de las características más avanzadas se relacione con el filtro antiphishing, el cual permitirá saber cuándo se ha ingresado a una página web fraudulenta desde la cual sufrir el robo de datos personales.

Asimismo, la incorporación de un corrector ortográfico permitirá observar las faltas mientras se escribe un correo o dentro de un blog.

Una de los avances más notables tiene que ver con la recuperación de la sesión en caso de que el browser se cierre abruptamente por algún error o involuntariamente. De ser así, Firefox le permitirá recuperar todas las páginas que estaba viendo a través de las pestañas (sistema que permite tener una sola ventana abierta pero navegar por múltiples páginas).

Entre las 15 mejoras que Firefox posee, se destacan además la mejora de la apariencia, algo relativo si se tiene en cuenta que es posible modificar la interfaz del navegador con miles de temas creados por otros usuarios.

En cuanto a las pestañas, por defecto se abrirá una nueva en vez de otra ventana de navegación.

Como queda en evidencia, el Firefox 2 planea pisar más duro que hasta ahora. ¿Sus armas? Las poderosas características y el fanatismo de los usuarios.

http://www.infobae.com/notas/nota.php?Idx=282778&IdxSeccion=100803

http://www.mozilla-europe.org/es/

Hola:

m,i opiniom es la siguiente:

Todo explorador es mejor que "Internet explorer".

¿porque?

Microsoft no acepta que sus productos son malos e internet explorer 7.0 tiene una fragilidad e igual que la version anterior.

asi que si quieren seguridad confiansa y estabilidad.

con cualquier navegador menos que internet explorer es mejor.

Aver no se pasen porque yo he estado usando IE desde siempre y 0 problems

yo pienso que critican demasiado a IE y sobretodo a MICROSOFT no lo entiendo

pero si la mayoria que se queja tienen seguro algun pruducto de microsoft

como WINDOWS y seguro que han tenido muy pocos problemas
primero prueben luego critiquen

(ESTO ES SOLO MU HUMILDE OPINION NO INTENTO HACER PUBLICIDAD NI CRITICAR A NADIE NI NADA POR EL ESTILO)

Un saludo antitodo

PD:Ya se k este tema tiene ya 1 año más o menos pero pienso que es importante que lo sepan sorry si os he molestado