Mozilla publica parches para catorce vulnerabilidades de Firefox
Mozilla ha lanzado una actualización de su navegador Firefox que cubre múltiples agujeros de seguridad del producto. La actualización incluye parches para catorce vulnerabilidades, tres de ellas criticas, pero deja aún algunos problemas sin resolver.
Las actualizaciones de Firefox 2.0.0.2 y Firefox 1.5.0.10 -inicialmente previstas para el miércoles, pero finalmente lanzadas el viernes- fueron retrasadas a fin de incorporar en el último momento un parche para uno de los tres fallos descubiertos este mismo mes por el investigador Michal Zelewsky, de la firma Polish. Dos de ellos han quedado sin resolver en esta actualización.
La vulnerabilidad reportada por Zelewsky que sí ha sido parcheada podía ser explotado por los atacantes para manipular información contenida en las cookies del navegador Firefox. Es probablemente la vulnerabilidad más importante cubierta por esta actualización, según Windows Snyder, responsable de estrategia de seguridad de Mozilla.
“La posibilidad de comprometer la cuenta de un usuario una vulnerabilidad casi tan crítica como la de comprometer su máquina”, ha subrayado Snyder. “Y, dado que los detalles sobre cómo aprovechar esta brecha se encuentran públicamente disponibles, el riesgo para los usuarios era mayor”.
De los dos agujeros no cubiertos, el más serio permite ataques de corrupción de memoria explotables por los hackers para inyectar código remotamente en las máquinas equipadas con Firefox. Para ello, simplemente tienen que hacer que los usuarios visiten páginas Web específicamente manipuladas. El tercer fallo podría ayudar a los atacantes en sus estrategias de phishing.
La actualización del viernes también incluye un parche para una vulnerabilidad no revelada hasta ahora en el browser y que permite a los hackers correr software no autorizado sobre el ordenador del usuario de Firefox. Esta vulnerabilidad también podía afectar a los usuarios del cliente de correo electrónico gratuito de Mozilla, Thunderbird, que hubieran configurado el programa para correr JavaScript automáticamente, algo que Mocilla desaconseja. Además, la actualización incluye avances para un mejor funcionamiento con Windows Vista y soporte para nuevos idiomas.
El soporte de Firefox 1.5.0.10 por Mozilla está próximo a su fin. Después del 24 de abril, la compañía dejará de emitir actualizaciones desarrolladas para mejorar la seguridad y estabilidad de esta edición. Aquellos usuarios que aún no hayan migrado desde esta versión, pueden descargar Firefox 2.0.0.2 del sitio Web de Mozilla, donde el software está disponible en versiones para Windows, Mac OS X y Linux, en 36 idiomas. También pueden actualizar sus versiones directamente utilizando los comandos correspondientes en el menú de ayuda del navegador.
