Múltiples vulnerabilidades en Mozilla Firefox
Los usuarios de Mozilla Firefox tienen a su disposición una actualización que resuelve numerosas vulnerabilidades altamente críticas, que podrían facilitar diversos tipos de ataques potenciales a los usuarios de esta solución de navegación.
Mozilla Firefox es un navegador Web gráfico libre y multiplataforma desarrollado por Mozilla Corporation y la colaboración de una amplia comunidad de usuarios. Los orígenes de Firefox se remontan a la liberación de la versión “Phoenix” en septiembre de 2002 como culminación de un fork del componente Navigator de la suite de comunicaciones Mozilla Application Suite.
Los errores corregidos podrían ser fuente de diversos problemas de seguridad, tales como la revelación de información sensible y del sistema, Cross-Site Scripting y saltos de restricciones de seguridad.
Los fallos documentados, hasta un total de ocho, son de diversa criticidad. De severidad baja podríamos calificar un determinado comportamiento anómalo en la implementación E4X, la gestión de páginas con títulos extremadamente largos y un error en el intérprete XML, como fallos de criticidad moderada una vulnerabilidad del motor Javascript, un problema de gestión de memoria del motor Gecko, irregularidades en los objetos “Location and Navigator” y algunos fallos descubiertos en las nuevas características E4X, SVG, y Canvas. Todos estos problemas están descritos en los enlaces proporcionados en el epígrafe “Más información”.
El único problema calificado como crítico es el originado por un error en la función XULDocument.persist(), que al no validar el atributo de nombre, permitiría que un atacante inyectase código XML en localstore.rdf, fichero que es leído y cargado cuando iniciamos Firefox, pudiendo resultar la explotación en la inclusión de comandos JavaScript que serían ejecutados con los permisos del navegador. Este problema podría ser todavía más crítico si se permite la ejecución de JavaScript en el cliente de correo Mozilla Thunderbird, si bien la configuración por defecto de Thunderbird no permite la ejecución de este tipo de scripts.
La solución pasa por la actualización a Firefox 1.5.0.1. Los usuarios que lo deseen, pueden usar SeaMonkey 1.0, exenta de fallos. Seamonkey es un proyecto en la línea de Mozilla Application Suite, que incluye navegador, cliente de correo y otras funcionalidades como cliente IRC y edición de HTML. SeaMonkey, al igual que Firefox, es gratuito para su uso y descarga, estando su código totalmente abierto y disponible.
Es recomendable que los usuarios de Mozilla Thunderbird sigan las noticias oficiales del sitio, puesto que los problemas corregidos para Firefox podrían tener una ventana de explotación en el gestor de correo.