Primer fallo de seguridad grave descubierto en Firefox 3.5

El título asusta. Pero dicen que en temas de seguridad hay que asustar al personal.

Pero en este caso no quiero asustar, si no hacer una pequeña reflexión. Como algunos sabréis, estoy en un curso organizado por la Universidad Rey Juan Carlos de Madrid (aunque estoy en Fuenlabrada) junto a Mozilla Europe, donde varios de los desarrolladores de Firefox o tecnoevangelistas, como Paul, o un becario como Vivien que trabaja para Fennec, nos están enseñando a hacer extensiones, comprender mejor el mundo de Mozilla y esas cosas.

Bueno, pues estaba esta mañana revisando mi correo, mis feeds y me encuentro con esto:

Mozilla Firefox 3.5 Remote Buffer Overflow Exploit (untested crash)

El primer exploit disponible públicamente para Firefox 3.5. Yo pensando: ¡vaya! la que nos va a caer encima…

Y cae, pero porque la gente no se informa lo suficiente parece ser…

Y es que vayamos con la evolución en el tiempo de este problema:

  1. Se abre un bug en Bugzilla (el 503286) en el que se reporta un problema en una página rusa que hace que el navegador se cierre de forma inesperada y con posible corrupción de memoria.
  2. Los desarrolladores van haciendo testcases, osea, pruebas cada vez más minimizadas para intentar acotar dónde está el fallo. No es lo mismo tener una página con 100 líneas o una con 10 exactamente con el problema y nada más.
  3. Se arregla un bug con un parche el día 9 de Julio (hace 5 días), pero sólo para la versión posterior a Firefox 3.5, esto es la 3.6 o la Firefox.next
  4. Hoy se encuentra en Milw0rm un exploit público basado en los testcases creados por los desarrolladores para minimizar el problema
  5. ——- Comment #30 From WD 2009-07-13 21:01:22 PDT (-) [reply] ——-

    From the duped bug 504001 ,
    This bug has reliable exploit code on milw0rm that results in code execution.
    http://milw0rm.com/exploits/9137

  6. Se crea el parche para la versión estable 3.5 (derivado de la de Firefox.next) y se sube al repositorio.

Pero aquí la cuestión que subyace es que Mozilla encuentra un fallo grave de seguridad y lo publica abiertamente en Bugzilla, donde todo el mundo puede contribuir y aportar comentarios. Alguien de fuera de Mozilla y con ganas de fastidiar a los usuarios crea un exploit basado en las pruebas que estaban haciendo los desarrolladores para arreglarlo. ¿Es ético? Si se sabe que un fallo está documentado y arreglado o en proceso de serlo ¿está bien sacar un exploit para desprestigiar?

Lo peor de todo que no es que haya salido en Milw0rm (donde miles de hackers se dan cita diariamente para subir sus exploits) si no que por ejemplo ha salido en la lista de seguridad más importante de España, en Una-al-dia de Hispasec, con una gran penetración en el sector diciendo encima que no hay parche, cuando sí lo hay y ya hay compilaciones diarias que lo traen arreglado.

Y no hay peor ciego que el que no quiere ver…