• Tweet

Boletín de Seguridad advierte de la vulnerabilidad crítica del plugin hecho por Microsoft dado a los usuarios de Firefox hace ocho meses a través de Windows Update.

Un add-on que Microsoft metió silenciosamente en Mozilla Firefox en febrero pasado deja abierto el navegador para atacar, reconocieron los ingenieros de seguridad de Microsoft a principios de esta semana.

Uno de los 13 boletines de seguridad de Microsoft publicado el martes afecta no sólo a Internet Explorer (IE), sino también a Firefox, gracias a un plugin hecho por Microsoft dado a los usuarios de Firefox hace ocho meses en una actualización emitida a través de Windows Update.

"Si bien la vulnerabilidad es un componente de IE, no es un vector de ataque para los usuarios de Firefox en si", admitieron los ingenieros de Microsoft el martes en un post del blog de Security Research & Defense. "La razón es que el Framework .Net 3.5 Service Pack 1 instala un plugin en Firefox de “Windows Presentation Foundation".

Los ingenieros de Microsoft describieron la posible amenaza como una situación de "navegar-y-apropiarse" que sólo requiere atacantes para atraer a usuarios de Firefox a un sitio Web falsificado.

Numerosos usuarios y expertos se quejaron cuando Microsoft proporcionó el Framework .Net 3.5 Service Pack 1 (SP1) de actualización a los usuarios en febrero pasado, incluyendo a Susan Bradley, un participante en el popular boletín Windows Secrets.

"El Framework .Net Assistant (nombre del add-on dado para Firefox) da como resultado el poder ser instalado dentro de Firefox sin su aprobación", señaló Bradley el 12 de febrero. "Aunque fue instalado por primera vez con el programa de desarrollo de Microsoft Visual Studio, he visto este componente .Net añadido a Firefox como parte de la revisión de la familia .Net".

Lo que fue particularmente irritante para los usuarios fue que, una vez instalada, la extensión .Net era prácticamente imposible de eliminar de Firefox. Los usuales botones de "Desactivar" y "Desinstalar" del add-on para Firefox fueron atenuados en todas las versiones de Windows excepto en Windows 7, dejando a la mayoría de los usuarios sin otra alternativa que los registros de Windows, una tarea potencialmente peligrosa, ya que un paso en falso podría paralizar la computadora. Varios sitios pusieron a disposición instrucciones complicadas de cómo eliminar el add-on .Net para Firefox, incluyendo Annoyances.org.

Annoyances también dijo que la amenaza a los usuarios de Firefox es grave. "Esta actualización agrega a Firefox una de las vulnerabilidades más peligrosas existentes en todas las versiones de Internet Explorer: la capacidad de los sitios Web para de forma fácil y tranquila instalar el software en la computadora", dijo el sitio de consejos y sugerencias. "Dado que este defecto de diseño es uno de los motivos por los que es posible que inicialmente decida abandonar Explorer en favor de un navegador más seguro como Firefox, es posible que desee quitar esta extensión a toda prisa".

En concreto, el plugin .Net funciona con una tecnología de Microsoft llamada ClickOnce, que permite a las aplicaciones .Net automáticamente descargar y ejecutarse dentro de otros navegadores.

Microsoft reaccionó a las críticas sobre el método que utilizó para instalar el complemento de Firefox mediante la emisión de otra actualización a principios de mayo que hizo posible desinstalar o deshabilitar el Framework .Net Assistant. No obstante, se pidieron disculpas a los usuarios de Firefox por el deslizamiento de la extensión en sus navegadores sin su permiso explícito, como es el caso de Firefox y otros complementos, o extensiones.

Esta semana, Microsoft no revisó el origen del add-on .Net, sino que simplemente le dijo a los usuarios de Firefox que deben desinstalar el componente si no eran capaces de desplegar los parches suministrados en la actualización MS09-054.

Según Microsoft, la vulnerabilidad es "crítica", y también puede ser explotada en contra de los usuarios que ejecuten cualquier versión de IE, incluyendo IE8.

Por Gregg Keizer

Traducción Agie Aguilar