3 de Agosto, 2004

Vulnerabilidad en Mozilla y Firefox

Bueno, esto es un tema delicado.

Ya no solo que el fallo se conociera desde el año 99, pero se clasificara como confidencial (?) y durante cinco años :o. También hay otras cosas a considerar.

¿Cómo valorar este hecho sin que parezca que mi actitud pro-Software Libre contamina mi opinión? La verdad es que es complicado, y soy un tío limitado a veces. No obstante me gustaría intentarlo, y en mayor o menor grado explicarme con claridad.

Primero hay que analizar el fallo. Recordemos que hace un tiempo se descubirió un problema en la mayoría de las implementaciones de TCP/IP, y en aquel momento intenté aclarar de que iba el asunto para que cada cual pudiera valorar la situación. Imagino que el tratamiento de estos temas se pueden hacer de forma que se nos prive de esa oportunidad de pensar por nosotros mismos. La maquinaria FUD (fear, uncertainty, and doubt) se va a poner en marcha esta vez casi con toda seguridad :).

En estos casos la fórmula de noticias comentadas que nos propone Barrapunto (la noticia) o Slashdot (la noticia) es perfecta para hacernos una idea de lo que está pasando, gracias a los comentarios de gente con más o menos criterio que nosotros. No es que crea que hay que ser excesivamente prudente, pero es que yo mismo he entendido mal todo este asunto en una primera lectura.

Y con todo lo que llevo escrito aun no he explicado lo que ha pasado... pues bien: se puede crear una 'falsa interfaz de usuario' mediante la cual se puede simular que el usuario está donde realmente no está.

Esto muy nuevo, lo que es nuevo, no es :D. Recuerdo que hace unos años se falsificaba la página de administración de los routers ADSL Office Connect de 3Com para pillar las contraseñas de administración... y la gente picaba. El tema está en que tanto Mozilla como Firefox dan facilidades para que esto se haga muy convincentemente permitiendo la interpretación de ficheros XUL descargados desde cualquier web. Quizás el fallo esté en que se puede llegar a ser muy convincente.

Para quien no sepa que se puede hacer con este invento, un ejemplo de interfaz web con XUL (no se trata de un exploit, sino de una aplicación legítima que hace uso de XUL).

¿Dónde está la gravedad? En el fallo no tanto, desde luego. Puede que hasta pueda entender porqué se ha dejado aparcado durante tanto tiempo, pero mejor no me pongo en la piel de los responsables ;).

¿Es malo que se haya ocultado este 'problema' durante tanto tiempo? Sin duda, no sabía que existían fallos que se catalogaran como confidenciales, y esta revelación me preocupa.

¿El problema está también en que si esto fuera otro problema de otro navegador no nos hubiéramos esforzado tanto en analizarlo? Yo, al menos, admito que no me hubiera molestado. No suelo hablar de software que no me interesa. Quizás sí veo entonces una pega que definiría actitud de comunidad, pero no se si se puede culpar a alguien, como he dicho, por elegir sus preocupaciones en la medida de lo posible.

A lo mejor es que nos hemos dado cuenta que todo software tiene fallos. Hombre, a estas alturas... :) Aunque quizás sí me haya desilusionado un poco la fundación Mozilla. Como apuntaba un comentario en Slashdot... ¿cuantos de estos fallos quedarán sin resolver perdidos en el monstruoso bugzilla? ¿Hay más fallos confidenciales? Mosquea :|.

Que cada cual saque sus propias conclusiones, que a fin de cuentas es lo que he pretendido con este texto.

Ojo con los comentarios, que hace ya mucho calor como para que trolls y otras bestias deleznables de la red vengan pasear a este humilde blog :P.

Actualización 5 de Agosto: Esta sí es grave, y mucho. Se trata de Múltiples vulnerabilidades en libpng, y afecta a todo soft capaz de manejar imágenes PNG, ya que probablemente use esta librería (inculidos Mozilla y Firefox; y especialmente porque están enlazados estáticamente a esta librería, con lo que hay que actualizarlos explícitamente). Por eso no me gusta comentar vulnerabilidades, porque siempre las hay y creo que existen sitios mejores que este para informar a la gente. El artículo sobre el fallo de Mozilla he intentado que fuera en otra dirección, ya que las circunstancias son especiales.

Anotación por Juan J. Martínez.

Hay 4 comentarios

Gravatar

lo acabo de comentar en mi blog, junto con mi user.js que arregla el problema :)

http://zootropo.blogspot.com/2004/08/la-conjura-de-los-necios-o-sobre-bugs.html

por Zootropo, en 2004-08-03 20:59:54

Gravatar

Ojalá tu js arreglara los tres problemas que cito en el texto... si ya arregla el técnico: algo es algo.

Aunque ya digo que no lo veo importante. Siempre se puede falsificar el interfaz de todas maneras (con una web normal), aunque no sea tan convincente como con el tema de XUL.

por Juanjo, en 2004-08-05 08:33:45

Gravatar

yap, pues eso es lo que me joder... que los sitios de seguridad son lo mas parecido a la prensa amarilla en el mundo real..
y que haya un monton de gente que lo lee y piensa que firefox tp es seguro, asi que no le merece la pena cambiarse de ie... y luego le toca al pobre pringao arreglarles el problema :P

por Zootropo, en 2004-08-05 12:46:41

Gravatar

btw, la de libpng ya esta corregida en la 0.9.3 (creo)
esto es lo que arregla: http://bugzilla.mozilla.org/buglist.cgi?bug_id=251381,249004,250906,253121

por Zootropo, en 2004-08-05 12:47:58

Los comentarios están cerrados: los comentarios se cierran automáticamente una vez pasados 30 días. Si quieres comentar algo acerca de la anotación, puedes hacerlo por e-mail.