en Sin categoría

Primer fallo de seguridad grave descubierto en Firefox 3.5

El título asusta. Pero dicen que en temas de seguridad hay que asustar al personal.

Pero en este caso no quiero asustar, si no hacer una pequeña reflexión. Como algunos sabréis, estoy en un curso organizado por la Universidad Rey Juan Carlos de Madrid (aunque estoy en Fuenlabrada) junto a Mozilla Europe, donde varios de los desarrolladores de Firefox o tecnoevangelistas, como Paul, o un becario como Vivien que trabaja para Fennec, nos están enseñando a hacer extensiones, comprender mejor el mundo de Mozilla y esas cosas.

Bueno, pues estaba esta mañana revisando mi correo, mis feeds y me encuentro con esto:

Mozilla Firefox 3.5 Remote Buffer Overflow Exploit (untested crash)

El primer exploit disponible públicamente para Firefox 3.5. Yo pensando: ¡vaya! la que nos va a caer encima…

Y cae, pero porque la gente no se informa lo suficiente parece ser…

Y es que vayamos con la evolución en el tiempo de este problema:

  1. Se abre un bug en Bugzilla (el 503286) en el que se reporta un problema en una página rusa que hace que el navegador se cierre de forma inesperada y con posible corrupción de memoria.
  2. Los desarrolladores van haciendo testcases, osea, pruebas cada vez más minimizadas para intentar acotar dónde está el fallo. No es lo mismo tener una página con 100 líneas o una con 10 exactamente con el problema y nada más.
  3. Se arregla un bug con un parche el día 9 de Julio (hace 5 días), pero sólo para la versión posterior a Firefox 3.5, esto es la 3.6 o la Firefox.next
  4. Hoy se encuentra en Milw0rm un exploit público basado en los testcases creados por los desarrolladores para minimizar el problema
  5. ——- Comment #30 From WD 2009-07-13 21:01:22 PDT (-) [reply] ——-

    From the duped bug 504001 ,
    This bug has reliable exploit code on milw0rm that results in code execution.
    http://milw0rm.com/exploits/9137

  6. Se crea el parche para la versión estable 3.5 (derivado de la de Firefox.next) y se sube al repositorio.

Pero aquí la cuestión que subyace es que Mozilla encuentra un fallo grave de seguridad y lo publica abiertamente en Bugzilla, donde todo el mundo puede contribuir y aportar comentarios. Alguien de fuera de Mozilla y con ganas de fastidiar a los usuarios crea un exploit basado en las pruebas que estaban haciendo los desarrolladores para arreglarlo. ¿Es ético? Si se sabe que un fallo está documentado y arreglado o en proceso de serlo ¿está bien sacar un exploit para desprestigiar?

Lo peor de todo que no es que haya salido en Milw0rm (donde miles de hackers se dan cita diariamente para subir sus exploits) si no que por ejemplo ha salido en la lista de seguridad más importante de España, en Una-al-dia de Hispasec, con una gran penetración en el sector diciendo encima que no hay parche, cuando sí lo hay y ya hay compilaciones diarias que lo traen arreglado.

Y no hay peor ciego que el que no quiere ver…

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

20 Comentarios

  1. Si eres administrador y tienen 500 máquinas con Firefox no puedes recompilar Firefox, esperar a que funcione PERFECTAMENTE y decirle a 500 tios que desinstalen el programa e instalen tu binario.

    Ese tipo de parche va perfectamente para distros, recompilas, pruebas y lanzas una actualización para todos.

    Queda muy machote aplicar un diff y recompilar, pero en el XXI, no.

    Que se publique en cualquier medio (especializado) me parece normal, ¿para que ocultarlo, si ya ha salido en milw0rm? ¿No sera mejor que lo sepas, extremes el cuidado, adoptes contramedidas hasta que salga un parche oficial? ¿Por qué te extraña que salga en una lista de seguridad? ¿Lo extraño no sería que no saliera?

    • No me extraña el hecho de que salga, si no del hecho que están publicando un fallo que está siendo corregido (si no lo había sido ya) y puede ser aprovechado por terceras personas para un perjuicio a los usuarios cuando ya se está pensando en sacar la versión que corrige errores.

  2. Ademas de lo que dice el comentario uno, mirar esto:

    http://blog.mozilla.com/security/2009/07/14/critical-javascript-vulnerability-in-firefox-35

    Status

    Mozilla developers are working on a fix for this issue and a Firefox security update will be sent out as soon as the fix is completed and tested.

    Y algunos otros…

    http://securitytracker.com/alerts/2009/Jul/1022549.html
    Solution: No solution was available at the time of this entry.

    http://secunia.com/advisories/35798/

    Solution Status: Unpatched


    etc.

    No hay más ciego que el que no quiere ver.

    • Sí hay parche amigo:

      Puedes mirar de nuevo el enlace que pongo al bug y verás que había un parche para la versión futura de Firefox 5 días antes de que saltara el exploit en Milw0rm, minutos u horas después había otro parche para la versión actual 1.9.1.

      Si consideras unpatched que aún no hay una versión nueva y liberada oficialmente vale, lo acepto. Pero desde minutos después de la inclusión del parche en el código de mozilla, hay compilaciones que puedes descargar e instalar (o sobreescribir sobre tu actual Firefox) para solucionar el problema de seguridad.

      Si no has leído el bug, te remito a él.

  3. “Si consideras unpatched que aún no hay una versión nueva y liberada oficialmente vale, lo acepto.”

    Pues eso.

    Para lo que tu llamas parche, te remito al primer comentario. Eso no es viable hoy en la mayoria de los entornos.

  4. El saber lo que falla y hacer un diff no es parche. ¿y si eso peta por todos lados? ¿sin pruebas de calidad? ¿has programado profesionalmente alguna vez?

    1) localizar bug y cambiar una línea, 10 minutos.
    2) arreglarlo y probar que no rompe nada y publicar nueva version… 2 semanas.

  5. ¿version “DESARROLLO” (aunque sea la rama estable…) en un entorno en produccion?

    aparte de no programar profesionalmente, veo que tampoco has administrado profesioinalmente…

    Lo dejo aqui, no quiero eternizar esto.

    saludos.

  6. Pues no, no he programado profesionalmente, tampoco he administrado, se ve que la gente que aún estamos inmersos en la carrera no podemos dar ningún tipo de opinión, que en mi caso, parece estar completamente equivocada.

    Y no me parece que la discusión se pueda dejar aquí, puedes comentar cualquier cosa que quieras.

  7. Antes de nada… ¡Felicidades por la traducción! 😉

    Esta tarde he visto que ya venía en el listado del ftp de mozilla la nueva versión 3.5.1 ¿Quieren más celeridad? 😛

    En varios repositorios al menos de Linux, está disponible Firefox 3.6apre. lo he usado durante una semana, y tal vez empiecen a ser inestables, pero las primeras versiones “prealfa 1” suelen ser continuaciones de la anterior versión y si llevan arreglos, pues en lo personal me decanto por estas mientras esté disponibles.

    Saludos. 🙂

  8. un consejo:
    si lo que quieres es opinar, no afirmes categoricamente que otros estan equivocados sobre todo cuando son gente que, (como has admitido) sabe de esto un rato mas que tu.

    Te mola mucho FF y lo quieres defender a toda costa (se nota) pero te aplico tu medicina “no hay mas ciego…” No hay parche oficial. Hay un .diff, inestables, dev, lo que quieras… pero es que oracle, microsoft, apple, y hasta “pacosoft” que hace software de contabilidad para tiendas de todo a 100, es capaz de hacer un diff en 10 minutos. Otra cosa es que tenga los santos cojones de ofrecer eso a sus clientes como solucion sin testearlo y encima afirme que, “tranquilos, hay parche.. no se si se rompera tu negocio si lo aplicas, pero hay parche”….

  9. Willy,

    Si existiese parche oficial… ¿por que mozilla no lo pone para descarga de su pagina oficial?

    Yo voy ahora a la descarga oficial de FF y me ofrecen la vulnerable en portada… y ninguna mención a que es vulnerable…

    ¿tan malos son?

  10. *Sí* hay parche oficial, mira el bug que comenta willyaranda. Está en el repositorio de mozilla, aprobado por responsables de Mozilla. Lo que no hay aún (o a lo mejor sí cuando yo escriba esto) es versión de actualización publicada y distribuida automáticamente, pero incluso hay binarios, y como se nota que no conoces apenas el desarrollo de Mozilla, un binario de la rama estable sólo introduce cambios de seguridad, no nuevas características que puedan comprometer la estabilidad general de la aplicación.

    ¿Qué el diff (que, por definición, *es* un parche, aunque sea en forma de código fuente) puede introducir errores? Pues sí, eso es inevitable, ni con 10 minutos ni con 2 semanas de pruebas puedes asegurar que no vaya a suceder. Y, si no, que se lo digan a Microsoft, ya que lo citas tú, que ha tenido que publicar varias veces ya parches para arreglar errores introducidos en parches de seguridad (y Mozilla también, que conste). Eso le pasa a MS, a Mozilla y a cualquier fabricante de software que maneje unos cuantos miles de líneas de código.

    Quien realmente tenga a cargo la administración de un sitio de 500 puestos y sea profesional, *probará* él mismo primero en unos cuantos equipos representativos del parque administrado el parche, esté publicado oficialmente o no, antes de distribuirlo en producción. Y, si haces eso y hablamos de un producto proveniente de Mozilla, MS u Oracle, te importará más bien poco si el status del parche es oficial o no, porque realmente necesitarás la solución disponible y habrás comprobado que funciona en tu entorno, que es donde tiene que funcionar.

    Pero, ya digo, así se hace si eres profesional. Y entonces a lo mejor no tienes tiempo de escribir comentarios en blogs quejándote de binarios que no has probado siquiera.

  11. “puedes comentar cualquier cosa que quieras.”

    ¿Eso no vale para mi?

    “Your comment is awaiting moderation. ”

    😛 sin acritud.

  12. hola hermano soy super fanatico de firefox soy un usuario que apenas me estoy iniciando en el mundo de la programacion y me gustaria en un futuro ser unos de los defensores, contribuyentes de firefox, me gustaria saber si me puede ayudar a conseguir todas la documentacion para ir conociendo como funciona este navegador interezante no importa que sea una version anterior lo que quiero es entender su codigo para ir mejorando mi preparacion como desarrollador y ayudar a crear soluciones informaticas gracias. si me puede responder a mi correo se lo agradezco.

  13. @Victor tenía los comentarios en moderación simplemente por si alguien se excede en cualquier comentario en cualquier post. y como no he estado online hasta ahora, por eso estaba en moderación (aka: si insultan, eliminar)

    @FuDo dejo tu comentario porque en sí no es hiriente, pero con el email que pusiste, pues eso mejor a tí que seguro te gusta más

  14. buah que tonterías, a los que tantos decís que si no sale en versión estable seguro que tenéis llenos vuestros servidores en producción de software no apto para ambientes en producción, yo no entiendo como siendo tan previsores luego virus como “I love you” crean el caos mundial.

Webmenciones

  • DevNote 11/08/2009

  • Alcance Libre 11/08/2009

  • La vida Linux 11/08/2009

  • Zona Firefox 11/08/2009

  • Mozilla Hispano 11/08/2009