• Tweet

El martes un hacker publicó código que explota una vulnerabilidad encontrada en la última versión del navegador Web Firefox de Mozilla Corp.

El código, el cual tiene como objetivo el navegador Firefox 1.5, fue publicado en el sitio The Metasploit Project en http://metasploit.com/archive/framework/msg00857.html por un hacker conocido como H D Moore. Metasploit es una herramienta de hacking utilizada ampliamente.

Moore dijo que un hacker con el nombre de Georgi Guninski reportó la falla a Mozilla Foundation el 6 de Diciembre del año pasado, y que él simplemente implementó y publicó la técnica descrita por Guninski.

Mozilla publicó un boletín sobre el exploit el miércoles pasado cuando liberó el navegador Firefox 1.5.0.1, el cual incluye una actualización para la falla. (http://www.mozilla.org/security/announce/mfsa2006-04.html). De acuerdo al boletín, la vulnerabilidad, la cual ha sido clasificada como moderada, causa una corrupción en la memoria del navegador que podría ser explotado para ejecutar código arbitrario. Específicamente, llamando al método "QueryInterface" del objeto interconstruido Location and Navigator del navegador podría permitir a un hacker tomar el control de un sistema del usuario Firefox 1.5 engañando al usuario para que visualice una página Web creada de forma maliciosa.

El hacker Aviv Raff criticó el martes a Mozilla en su blog (http://aviv.raffon.net/) por darle una clasificación de grado menor a la falla. Él ha criticado al grupo open-source en el pasado por minimizar la seriedad de las fallas de vulnerabilidades que han sido encontradas en su software.

“Mi conjetura es que están esperando un exploit en el Internet antes de incrementar la clasificación de cualquier vulnerabilidad de corrupción de memoria explotable como ‘Crítico’”, escribió Raff el martes.

Chris Beard, vicepresidente de productos para Mozilla, dijo el martes que la compañía no estaba conciente de ningún código que explote la falla al momento de publicar el boletín y por lo que clasificaron la vulnerabilidad como moderada. Sin embargo, la falla será reclasificada como ‘crítica’ desde que existió la posibilidad de ejecución de código remoto.

La única versión del navegador que es afectada por la falla es Firefox 1.5; las versiones anteriores no parecen ser vulnerables, de acuerdo con Mozilla. Sin embargo, la mayoría de los usuarios de Firefox 1.5 deberían haber descargado automáticamente el parche de software gracias a las actualizaciones automáticas contenidas en Firefox.

Thunderbird 1.5, la última versión de la aplicación de correo del grupo podría ser vulnerable a la falla en JavaScript que está habilitada en correo electrónico, de acuerdo con la advertencia del boletín de Mozilla. Sin embargo, JavaScript no está habilitado de forma predeterminada en Thunderbird, de acuerdo con Mozilla.