Publicada importante vulnerabilidad de Mozilla

Hispasec ha anunciado una vulnerabilidad bastante grave que afecta a la mayoría de versiones de Mozilla y Mozilla Firefox, mediante la cual webs maliciosas pueden modificar completamente el interfaz de usuario, haciendose pasar por otras webs (sevicios bancarios, etc.). El problema es importante porque no sólo se puede falsificar la barra de direcciones como en una conocida vulneravilidad de Internet Explorer (programa para el que por cierto ha sacado recientemente un parche Microsoft para resolver otro importante fallo), sino que permite falsificar también otros elementos del navegador como por ejemplo la información sobre certificados de seguridad. Más grave todavía es que no se trata de una vulnerabilidad aislada, sino más bien de un problema de diseño, que se remonta nada más y nada menos que al año 1999, por lo que su solución puede ser algo costosa. En esta web también tenéis bastante información sobre el tema, junto a algunos ejemplos para Firefox de una página falsificada de Paypal. Mientras no se solucione, y de paso como norma habitual, se recomienda tener cuidado al seguir enlaces de páginas que no sean lo suficientemente fiables.
Este es un error de los que hacen pupa a la reputacion de un navegador, menos mal que conociendo a esta gente no tardaran mucho en solucionarlo.
franaloper escribió:Este es un error de los que hacen pupa a la reputacion de un navegador, menos mal que conociendo a esta gente no tardaran mucho en solucionarlo.


Pues si, este error es de los que hacen pupa, pero el exploter los tiene muy a menudo.
Yo tambien espero que lo solucionen lo antes posible. Una de las varias razones por las que abandone el exploter es por su falta de seguridad.
pues vaya, menudo palo para nosotros los anti-IE, casi nos quedamos solo como argumento la navegacion por tabs, pq bugs tambien tiene el firefox
Este error lo llega a tener el Explorer, y ni te cuento (que de hecho, los tiene xD).

(Antes de que alguien ladre, uso Firefox..).

En fin, a ver si se soluciona pronto.
ke lo ke diferencia mozilla de explorer no es solo ke tenga menos fallos, ke los tiene... sino mas bien la filosofia de sakamos fallo, lo publiko y entre todos los solucionamos....

vamos ke aun teniendo los mismos fallos eligiria mozilla sin duda

salu2

[oki]
Vaya... me mudo temporalmente al IE.

A ver si se dan chicha para corregir el fallo.
Pero es que eso no es todo porque Mozilla Foundation ha declarado que ofrecerá una recompensa de 500$ por vulnerabilidades "serias" en su navegador. Con este movimiento se trata de contestar a los críticos que opinan que no se trata de que Mozilla tenga menos vulnerabilidades que el más utilizado Internet Explorer, sino que al ser un programa minoritario tiende a ser menos atacado.

Fuente: ZDNet.


PD: Por hablar y hacerse los chulitos. [snif]
Billie_Joe escribió:Vaya... me mudo temporalmente al IE.

Espero que lo digas de coña porque sino sales de Guatemala para meterte en Guatepeor...

Estoy convencido de que en poco tiempo tendremos el parche que solucione esto.

Como ya ha dicho Zibergazte, yo si tengo que elegir entre Firefox e IE teniendo los 2 navegadores los mismos fallos me quedo con el primero de calle, no hay color...

Saludos [bye]
franaloper escribió:Pero es que eso no es todo porque Mozilla Foundation ha declarado que ofrecerá una recompensa de 500$ por vulnerabilidades "serias" en su navegador.


Pues como ahora los que se dedican a buscarle las cosquillas al Explorer empiecen a buscárselas al Mozilla, ya me veo un Mozilla update integrado xD
Yo personalmente confio mas en una empresa seria, pese a las criticas [looco] , que una que da una propina al que encuentre un fallo (un poco cutre).

Que COJONES si al final todos usais el Explorer.

jejjeje [fumeta] [fumeta]
Sueltas que al final todos usamos el explorer, y te quedas tan ancho.

Para :Ð o [buuuaaaa]
gitanet exploter.... hace mucho tiempo que lo abandoné [ok] , con sus fallos de seguridad que no se corrigen hasta 4 meses despues de su anuncio y bazofias del estilo :O .

Esperemos que tarden poco en subsanar este bug [mamaaaaa]
Esperemos que tarden poco en subsanar este bug


jjejeje, dudais de la capacidad de Mozilla jejeje, ya se estan currando la version 0.9.3 de firefox y la 1.7.2 de Mozilla :P

http://ftp.mozilla.org/pub/mozilla.org/firefox/nightly/
http://ftp.mozilla.org/pub/mozilla.org/mozilla/nightly/

lo mas seguro es que muy pero muy pronto sean anunciadas, mas el parche para versiones anteriores ;)
Empezamos a pagar que se esté haciendo tan famoso. Espero que todo se quede en un caso concreto, pero como a la "mala gente" le de por él y empiecen a buscarle las cosquillas vamos "apañaos"...

A ver, a ver....
De momento me estoy librando, voy a cruzar los dedos [jaja]


Fdo.: Un usuario satisfecho de Ópera.
El dia que en una noticia relacionada con algun fallo de microsoft vea frases como:

-Esperemos que tarden poco en subsanar este bug
-espero que lo solucionen lo antes posible

podre llegar a pensar que la gente opina con sensatez y sobre todo con un poco de objetividad.

Un saludo [bye]

PD: yo tambien uso mozilla
Cambiad la interfaz. Yo por ejemplo la TENIA... EH ????????? me acabo de dar cuenta que mi interfaz no es la misma...
A ver que ha pasado

Eso que os iba diciendo, cambiad, poned iconos nuevos, cambiadlos d sitio i todo eso :)
Una cosa, la vulnerabilidad es para todas las versiones o solo para la 0.9x, es que me meto a la pagina en cuestión, y no me sale lo de los screenshot, me da un error, y no se muestra la pagina (Uso todabia la 0.8 hasta que solucionen un problemilla con los enlaces).

Un saludo
daniel_5 escribió:Una cosa, la vulnerabilidad es para todas las versiones o solo para la 0.9x, es que me meto a la pagina en cuestión, y no me sale lo de los screenshot, me da un error, y no se muestra la pagina (Uso todabia la 0.8 hasta que solucionen un problemilla con los enlaces).


afecta a todas las versiones (creo), pero hay que preparar la página "falsa" especialmente para ellas.
Hombre, bugs tiene, pero creo que al fin de año, los bugs que realmente necesitan parches para firefox se pueden contar con los dedos de una mano mientras que los del IE... como no cuente en Binario y con las 2 manos... XD

En todo caso, como ya se dice por aqui, supongo que el problema se solucionara rapidamente, como de costumbre... mientras que hasefroch tardara lo suyo en sacar un parche
Vaya por dios, y yo que le puse Mozilla al jefe de Empresa para que comprobase sus cuentas bancarias y transacciones con el argumento de que estaría más seguro que con IE... Espero que esto se arregle pronto.
pechelin está baneado por "Clon para saltarse un baneo"
Jaaaaaaaaaajajajajajajajajaj para que luego se critique tanto internet EXPLORER JAAAAAAJAJAJAJAJAJAJAJA

Yo uso Opera, pero ni lo actualizo, tengo demasiada mierda en mi PC XDDDDDDD


Para los fans, jaaaaaaaaajajajajajajajajajajjajajajajajaj
Bueno, yo siempre he estado orgulloso de Firefox, software libre y demás, espero que lo solucionen.

Voy a probar el opera de todas formas.
errores van a tener todos, llamese IE, Firefox o lo q sea; d eso por desgracia no se libra casi ningun soft y mucho menos los q estan sacando releases d una manera más o menos habitual q precisamente si lo hacen es por eso: para corregir fallos e incrementar funcionalidad; habitualmente uso mozilla o firefox y IE solo en los casos q no kda mas narices pq sea una page optimizada para IE [tomaaa] las desventajas d IE no las voy a nombrar pq son conocidas por todos d sobra y las d cualquier producto d codigo abierto es muy simple: tanto lo bueno como lo malo es eso precisamente, q es codigo abierto... si todo el mundo q lo puede leer descubre un error y lo corrije o lo hace publico para q alguien lo haga estupendo, pero si el q lo descubre no va con buenas intenciones lo puede usar para su propio provecho

q eso le pasa a IE? si y por eso lo q hace es igualar en algunos términos tanto a un navegador como a otro; y sí, todo esto lo digo a sabiendas q windows update tiene parches para el exploter a patadas, más y mayores criticos q mozilla :-)
El dia que un bug en el Mozilla dure 4 meses, dire que le pasa lo mismo q al explorer...

P.D Yo tambien uso Firefox...
jiXo escribió:
afecta a todas las versiones (creo), pero hay que preparar la página "falsa" especialmente para ellas.


Ok, entonces un "truco" podria ser utilizar una versión un poco mas antigua, suponiendo que el fallo lo explotaran para las ultimas versiones, ya que es en teoría la mas utilizada, de todas formas me cambio el theme y listo.

Un saludo
pechelin escribió:Jaaaaaaaaaajajajajajajajajaj para que luego se critique tanto internet EXPLORER JAAAAAAJAJAJAJAJAJAJAJA

Yo uso Opera, pero ni lo actualizo, tengo demasiada mierda en mi PC XDDDDDDD


Para los fans, jaaaaaaaaajajajajajajajajajajjajajajajajaj

Buen razonamiento.

Sinceramente, quién va a abrir la página de un banco desde una web de dudosa reputación? Al menos yo pongo la dirección de mi banco manualmente, supongo que estoy 100% "protegido" de este bug.
zibergazte escribió:ke lo ke diferencia mozilla de explorer no es solo ke tenga menos fallos, ke los tiene... sino mas bien la filosofia de sakamos fallo, lo publiko y entre todos los solucionamos....


¡ Viva el software libre ! XD

PD: yo también uso Firefox
RubénGM escribió:
Sinceramente, quién va a abrir la página de un banco desde una web de dudosa reputación? Al menos yo pongo la dirección de mi banco manualmente, supongo que estoy 100% "protegido" de este bug.

Pues sí...pero se puede hacer para más cosas que para bancos (que dicho sea de paso, yo por lo menos estoy obligado a usar mis bancos on-line con IE, pq utilizan Activex)
Pueden por ejemplo hacer una tienda falsa y un enlace a "compra con paypal" o similares...el fallo es gordo, y más si es de diseño...esperemos que no tarden mucho en solucionarlo, yo seguiré usando mozilla de todas formas...
jonkoman escribió:El dia que un bug en el Mozilla dure 4 meses, dire que le pasa lo mismo q al explorer...

P.D Yo tambien uso Firefox...



Hispasec escribió:Hay que señalar que no se trata de un problema nuevo, ya que el mencionado bug fue mencionado por primera vez en 1999, pero fue marcado como confidencial durante 5 años, hasta que el pasado día 21 un desarrollador independiente publicó el aviso.


5 años me parece que es bastante mas que 4 meses. [noop]

Yo tambien uso firefox y seguier usandolo pero }:/
ñia pero no le den mas importancia,Explorer tiene mas fallos que el arbitraje del España-corea del mudial...,io seguire al tanto d elo que pase [risita] ,es que [algo off-topic] ==>no me digan que se navega mas comodo con el mozilla sin ventanitas d eesas..espero que ahora no piensen que va a ir por el mismo camino que IE [cerrando off-topic]
katxan escribió:Fdo.: Un usuario satisfecho de Ópera.


otro por aki :)
He provado firefox pero no me convence. Le encuentro poca "chicha". Quizas en futuras versiones de este si que me pase, pero de mientras no me cambio mi opera por nada del mundo.
La diferencia es que no es un bug universal, hay que tener todas las opciones por defecto, y hay que diseñarlo para cada versión en concreto ;-)

Aparte este bug se corregirá como es debido, no deshabilitando el login a través de la URL como hizo IE en su día...

Vamos, volver a IE por algo como esto... TODO el software tiene fallos, está hecho por humanos, y mientras siga así los tendrá. La diferencia es que en el software libre el mismo que encuentra el fallo suele arreglarlo, y sino lo puede arreglar millones de personas más.

PD: Bueno, todo todo el sw no, que ahora vendra NetVicious que Qmail no los tiene :P
Ahora escribo desde Opera, y la primera impresión es que es sorprendente, lastima que no sea gratuito como Firefox.

Este bug lo arreglaran en menos que canta un gallo, no como M$ cawento.
Para las transacciones importantes os recomiendo un truco que de momento parece que sigue sin fallar incluso con este bug

Le das al botón derecho y view page info (o como sea en castellano): ahí te sale la información de verdad en cuanto a URL, certificado de seguridad...

Ya sé que no es la panacea, pero para ir tirando sí que vale

Probadlo en el ejemplo de la noticia y ya me contaréis! [oki]

Por cierto, como es obvio yo también uso Firefox :P
keops escribió:



5 años me parece que es bastante mas que 4 meses. [noop]

Yo tambien uso firefox y seguier usandolo pero }:/


lo de 5 años a ke viene?.... se trata de solucionar un fallo kuando se detecta... no desde ke existe... porke sino el explorer tiene fallos desde ke lo kreo mocosoft.... y el 100% del soft tiene en potencia fallos

salu2

ninguns soft es invulnerable.... y si te dedikas lo suficiente a investigar siempre hay algun fallo.... pero eso no kita para ke mozilla o opera le den mil vueltas a explorer en seguridad (no me metere en las causas...)
En fin... los que quieran seguir usando IE, o peor aún (como dijo alguno) volver a él, allá ellos. [agggtt]
Es cierto que ahora, cada vez más, irán apareciendo muchas vulnerabilidades... es el precio a pagar por la "popularidad" que está alcanzando Mozilla. Pero también soy de los que pienso que Mozilla ha alcanzado un nivel de "garantía", y soluciona estos problemas mucho mejor que M$. ¬_¬
Ya va siendo hora de darnos cuenta que Multinacional no es sinónimo de 'Calidad' o 'Servicio al cliente'. Mas bien es sinónimo de 'monopolio', 'beneficios' y 'prepotencia'... [nop]

Por cierto, el bug es tan fácil de evitar como "cambiar los botones de la barra de herramientas: cambiarlos de orden, añadir o quitar algún botón, o cambiar el tema. Es decir, no dejar la barra como viene por defecto, que es lo que hace el "spoof"... [beer] Facil de arreglar.
juas juas juas

cuando sacan un fallo al explorer lo crucificais simplemente por mania y poco mas y cuando le sacan un fallo al MoRzilla no pasa nada se lo "perdonais" siendo un fallo gravisimo de seguridad, esta claro que si la gran cantidad de gente que se dedica a buscar y explotar fallos en el explorer se pusieran con el morzilla se lo comen vivo porque no existe programa sin fallos y el estar en lo mas alto tiene un precio que todos van a por ti, es lo que le ocurre al explorer.

Yo personalmente suelo usar el opera y el explorer ( este a mi nunca me ha dado problemas que no me haya dado otro ) y el firefuck que lo tengo puesto pero no lo uso por que es incomodisimo y ahora conociendo esta noticia tendre que borrarlo rapidamente porque es un peligro tenerlo instalado. X-D X-D X-D [bad] Todos vosotros deberiais hacer lo mismo la mala hierba ahy que cortarla de raiz X-D

[angelito] que haya paz X-D
finikini escribió:juas juas juas

cuando sacan un fallo al explorer lo crucificais simplemente por mania y poco mas y cuando le sacan un fallo al MoRzilla no pasa nada se lo "perdonais" siendo un fallo gravisimo de seguridad, esta claro que si la gran cantidad de gente que se dedica a buscar y explotar fallos en el explorer se pusieran con el morzilla se lo comen vivo porque no existe programa sin fallos y el estar en lo mas alto tiene un precio que todos van a por ti, es lo que le ocurre al explorer.

Yo personalmente suelo usar el opera y el explorer ( este a mi nunca me ha dado problemas que no me haya dado otro ) y el firefuck que lo tengo puesto pero no lo uso por que es incomodisimo y ahora conociendo esta noticia tendre que borrarlo rapidamente porque es un peligro tenerlo instalado. X-D X-D X-D [bad] Todos vosotros deberiais hacer lo mismo la mala hierba ahy que cortarla de raiz X-D

[angelito] que haya paz X-D


Informate un poco nene y luego hablamos....... que dices cosas que no tienen ni pies ni cabeza [agggtt]
Este bug ya lo conocían desde 1999:
http://bugzilla.mozilla.org/show_bug.cgi?id=22183#c0

Luego lo mantuvieron en secreto durante 5 años siguiendo el consejo de su ingeniero de seguridad para que los "kiddies" no lo aprovecharan:
http://bugzilla.mozilla.org/show_bug.cgi?id=22183#c84

Finalmente hace 4 días les explotó el tema y entonces deciden desclasificar el bug:
http://bugzilla.mozilla.org/show_bug.cgi?id=22183#c86

Supongo que las nigthly builds ya deben tener corregido el fallo. Mientras aquí hay un nuevo bug publicado hoy mismo con el que se puede obtener el control del sistema: http://secunia.com/advisories/12204/

Solo afecta hasta el mozilla 1.6 para abajo.
finikini escribió: juas juas juas

cuando sacan un fallo al explorer lo crucificais simplemente por mania y poco mas y cuando le sacan un fallo al MoRzilla no pasa nada se lo "perdonais" siendo un fallo gravisimo de seguridad, esta claro que si la gran cantidad de gente que se dedica a buscar y explotar fallos en el explorer se pusieran con el morzilla se lo comen vivo porque no existe programa sin fallos y el estar en lo mas alto tiene un precio que todos van a por ti, es lo que le ocurre al explorer.

Yo personalmente suelo usar el opera y el explorer ( este a mi nunca me ha dado problemas que no me haya dado otro ) y el firefuck que lo tengo puesto pero no lo uso por que es incomodisimo y ahora conociendo esta noticia tendre que borrarlo rapidamente porque es un peligro tenerlo instalado. Todos vosotros deberiais hacer lo mismo la mala hierba ahy que cortarla de raiz

que haya paz


Aveces pienso que hay gente que no postea sus ideas sino que hace comentarios que no piensa para hacer rabiar a los demas [maszz]
Dejad de responder al troll, el hilo iba bastante bien.
Bueno, seguro que ahora mismo hay una legión de gente detrás del problema, no problem [oki]

¿Que diferencia hay entre este tipo de bugs y los de IE de Microsoft? ¿Porque no crucificamos a Mozilla como hacemos con M$? Pues porque...

1 - Mozilla es software libre, IE no.
2 - Mozilla hace público el fallo, lo reconoce y cientos de personas puedan aportar su granito de arena para saber porque falla y como solucionarlo, en IE M$ se lo calla hasta que puede, no puedes saber porque falla, no puedes hacer nada por solucionarlo excepto rezar para que M$ saque pronto un parche, y cuando finalmente lo saca, no sabes exactamente que actualiza.
3 - M$ es una compañia con miles de programadores asalariados y las licencias de sus programas cuestan cientos de euros. Mozilla es una fundación sin ánimo de lucro y sus programas cuestan cero.
4 - IE es una lacra para la estandarización de Internet, y el único navegador que no cumple los estándares de la W3C.

No es cuestión de fanatismo, como apuntan algunos, existen razones de peso para actuar de una forma u otra. Tan sólo hay que saber apreciarlos y no simplemente tacharnos de raros, frikis, fanáticos... [sonrisa]
khosu escribió: Mozilla hace público el fallo, lo reconoce y cientos de personas puedan aportar su granito de arena para saber porque falla y como solucionarlo, en IE M$ se lo calla hasta que puede, no puedes saber porque falla, no puedes hacer nada por solucionarlo excepto rezar para que M$ saque pronto un parche, y cuando finalmente lo saca, no sabes exactamente que actualiza.


Hispasec escribió:Hay que señalar que no se trata de un problema nuevo, ya que el mencionado bug fue mencionado por primera vez en 1999, pero fue marcado como confidencial durante 5 años, hasta que el pasado día 21 un desarrollador independiente publicó el aviso.


Que cada cual use el navegador q quiera. Pero no vendas el Mozila con tonterias q no son verdad xq la gente no es tonta y sabe leer. Hay mil motivos para usar mozila, pero ocultando un dato asi durante 5 años ellos se hechan la mi...da sobre su propio tejado. Asi q no les defendais por ello.

Y no os egañeis, ningun navegador es seguro.
hEiFoN escribió:
otro por aki :)
He provado firefox pero no me convence. Le encuentro poca "chicha". Quizas en futuras versiones de este si que me pase, pero de mientras no me cambio mi opera por nada del mundo.


Lo mismo me pasa a mi. Llevo con el Opera años y seguire con el.

Saludos.
Al parecer lo único que hace es abrir una ventana nueva, con unos javascripts que hacen un sistema de ventanas igual que el de Firefox... lo curioso es que también es aplicable a todos los otros navegadores, ya que solo hay que cambiar las imágenes y el estilo del texto:

http://www.nd.edu/~jsmith30/xul/test/spoof.html

Esta web muestran los errores... La diferencia entre este "exploit" y otros en otros navegadores es que usa el sistema XUL, que, como dicen en otros foros, permite hacer cosas bastante interesantes como esto:

http://www.infodraft.com/~faser/mab/content/mab.xul

Mozilla solo tiene que hacer un parche que verifique la "forma" del XUL, para evitar plagios.

^__^x a mi me dan igual los errores que aparecen así, porque tienden a corregirse antes de que se generalice un exploit.
si quereis el 'parche' para esta 'vulnerabilidad' esta aqui mismo
este archivo es lo mismo k escribir about:config y modificar 4 parametros.
los teneis k copiar aki:
C:\Documents and Settings\(tu cuenta de usuario)\Datos de programa\Mozilla\Firefox\Profiles\default.xxx

puede k tengas k activar 'ver archivos ocultos' para llegar. Oooh

tiene k quedar al lado del 'prefs.js'

luego reinicias el explorador y, probad de nuevo la pagina del exploit.
vereis como ya no se pueden ocultar las barras de navegacion de verdad.

Adjuntos

Hay otra forma, modificando el "user.js" como hacen en esta página:

http://zootropo.blogspot.com/2004/08/la-conjura-de-los-necios-o-sobre-bugs.html

De esta forma, en lugar de abrirse una nueva ventana "ocultando" la barra de tareas, aparecen 2 barras de tareas: la tuya propia y la fake... por lo tanto se descubre el pastel.

No es un bug, es una característica del lenguaje XUL que permíte generar interfaces web. Es muy útil para miles de cosas, y en este caso lo usan para enmascarar una web. Pero no es ni un bug ni un exploit.

Saludos
jarzombeck escribió:si quereis el 'parche' para esta 'vulnerabilidad'


Supongo que la solución que propones consiste en activar ciertas opciones que por defecto están desactivadas, y que casi nadie suele mirar.

Gracias a esta noticia, he probado esas opciones y ¡son fantásticas!:

* impedir que un popup (aunque sea benigno) esconda la barra de direcciones, de estado, el menu o los botones del navegador

* impedir que un popup pueda hacerse más grande que la pantalla y otras cosillas que algunos webmasters tocapelotas suelen hacer

Activando esas opciones, no solo te proteges mejor de páginas malignas, sino que puedes acceder al menu, barra de direcciones, etc incluso cuando el popup estaba preparado para ocultártelos. Supongo que las próximas versiones de los productos Mozilla llevarán estas opciones activadas por defecto, y problema resuelto.

¿A qué esperas? Activa esas opciones y luego vuelve a visitar la página maligna de prueba y verás que risa :D

Así estás mejor prevenido ante estos webmasters maliciosos, que pueden atacarte A CUALQUIER NAVEGADOR que no proporcione estas opciones. Cualquier usuario de Mozilla, Microsoft Internet Explorer, Opera, Konqueror, etc está expuesto a páginas como esta:

página maligna de prueba 2

Pero sólo unos pocos navegadores te permiten prevenirlo. Mozilla y Mozilla Firefox te lo permiten. ¿Y el tuyo? ;)
70 respuestas
1, 2