Mozilla por fin ha publicado oficialmente la versión 3.6.2 del navegador
Firefox que soluciona (entre otros) un fallo de seguridad que estaba
siendo aprovechado por atacantes y del que se rumoreaba desde hace un
mes. Por su parte (en su dinámica habitual) el gobierno alemán recomendó
no usar el navegador hasta que el fallo fuese corregido.
La compañía
rusa de seguridad Intevydis, aseguró a mediados de febrero que conocía una
vulnerabilidad del navegador Firefox que podría permitir la ejecución de
código arbitrario con solo visitar una página web. Mozilla dijo que no podía
confirmar el fallo. Evgeny Legerov, de Intevydis, dijo que encontrar el
problema y crear un exploit no era trivial pero que era muy fiable y
funcionaba en la instalación por defecto del navegador sobre XP y Vista.
Efectivamente se confirma que el fallo era real, que en esta versión 3.6.2
se soluciona y que estaba siendo aprovechada por atacantes desde hace
semanas.
Intevydis es la desarrolladora de VulnDisco. Se trata de un
pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas
de decenas de programas. En su última versión de principios de febrero,
contenía una vulnerabilidad desconocida hasta ahora para Firefox 3.6.
Desde entonces parece que el fallo ha estado siendo aprovechado, aunque
Intevydis mantuvo en secreto la vulnerabilidad y solo fue comercializada
a través de VulDisco. Pero, como era de esperar, en algún momento la
información ha sido filtrada y ha caído en manos de los atacantes.
Mozilla no pudo encontrar la vulnerabilidad aunque supiera que existía,
y en un principio no reconocía el fallo. Al parecer, el propio Evgeny
Legerov se puso en contacto con la fundación el 18 de marzo, después de
que la compañía Secunia confirmara la vulnerabilidad. Aportó los detalles
suficientes y entonces es cuando lo han corregido. En total, se ha
necesitado aproximadamente un mes para tener lista una versión estable y
oficial que solucione el problema.
Mozilla ha adelantado su nueva
versión, prevista para el 30 de marzo. Como viene siendo habitual, y ante el
inminente peligro, la Oficina Federal para la Seguridad de la Información
alemana recomendaba no usar Firefox hasta que existiese una actualización
oficial. Primero, la recomendación de abandono temporal del navegador le
tocó a Chrome, luego a Internet Explorer (noticia con mucha más repercusión
que el resto) y ahora a Firefox. Efectivamente, como adelantábamos en una
una-al-día anterior, «si la intención [del gobierno alemán] es, con buen
criterio, disuadir del uso temporal de programas con graves vulnerabilidades
hasta que sean resueltas, la lista debería ser demasiado larga.»