CNET News.com[en] informa que expertos en seguridad aseguran haber encontrado maneras de usar el último fallo de seguridad de Mozilla[en] que fue encontrado por Tom Ferris la semana pasada. Cuando Ferris publicó los detalles del desbordamiento del ''buffer'' en los enlaces con Nombres de Dominios Internacionales (IDN)[en] incluyó algunas ideas conceptuales sobre cómo se podia llegar a usar el fallo para hacer que Mozilla Firefox (y otras aplicaciones afectadas) llegaran a fallar sin realizar ninguna acción peligrosa. Sin embargo, Ferris aseguró haber creado una variante que podrÃa ejecutar código arbritário yahora otros expertos, incluyendo Berend-Jan Wever, han informado que también han desarrollado sus propias ideas de concepto sobre cómo explotar el fallo. Wever afirma que sólo le hicieron falta tres horas y media para crear el código malicioso.
Ni Ferris ni Wever han hecho todavÃa públicos sus códigos, pero el artÃculo de News.com avisa que los atacantes no irán muy retrasados con respecto a los expertos en seguridad en explotar el fallo de seguridad y asà sacar provecho. Ferris afirma textualmente que pocas personas le han pedido personalmente el código de ejemplo:
Esto demuestra que los atacantes están buscando algo para empezar
El viernes pasado, un dÃa después de que el fallo de seguridad se hiciera público, la Fundación Mozilla lanzó un parche provisional que desactivaba el soporte para IDN, asegurando que por lo menos el código afectado no funcionarÃa. Por ello, se ha desarrollado una solución a largo plazo que soluciona el fallo de seguridad sin tener que desactivar el soporte para IDN y que será incluido en Mozilla Firefox 1.0.7 y Mozilla 1.7.12 cuando se lancen en unos dÃas. Ayer, las versiones candidatas de Firefox 1.0.7 y Mozilla 1.7.12 se hicieron públicas[es] para probar.
News.com tiene un artÃculo sobre la próxima versión de Firefox 1.0.7 y Mozilla 1.7.12[en] (es el cuarto artÃculo relacionado con el mismo fallo en una semana), que incluye comentarios de Mike Schroepfer, el director técnico de la Fundación Mozilla. El artÃculo afirma que Ferris asegura haber encontrado un vulnerabilidad relacionada con la anterior en Firefox 1.5 Beta1 (pero no Firefox 1.0.6 y anteriores), que está presente incluso si se instala el parche que desactiva el soporte para IDN. Él publicó un aviso en la página Security Protocols[en] con el nombre de ''Mozilla Firefox 1.5 Beta 1 IDN Buffer Overflow[en]. Sin embargo, de acuerdo a los comentarios del fallo 307259[en], este problema es totalmente distinto a pesar de tener un ejemplo de fallo muy similar al fallo de IDN. Este otro fallo, al parecer sólo implica un fallo del programa sin problemas de seguridad, ha sido asignado como el fallo 308579[en], que ha sido a su vez marcado como duplicado del fallo 307875[en].
Esta no es la primers vez que Ferris identifica erróneamente un fallo en Mozilla. En su aviso original del fallo de IDN afirmó que se debÃa a una vulnerabilidad en el formato de cadena[en], cuando el realidad es que se trata de un desbordamiento del buffer. Fue corregido rápidamente por los programadores de Mozilla, a los cuales olvidó citar cuando copió -casi literalmente- sus comentarios en su informe del fallo[en]. Además, afirmó haber informado del fallo dos dÃas antes de la fecha en la cual se abrió el fallo. Ferris ha sido criticado por algunos miembros de la comunidad encargada de la seguridad por desvelar algunos detalles del fallo de IDN sin antes dar tiempo a la Fundación Mozilla para desarrollar una solución.
Comentarios
No hay comentarios.
Añadir un comentario
Los comentarios para esta entrada están cerrados.