Firefox se actualiza y soluciona vulnerabilidades
El navegador libre Firefox fue actualizado a la versión 3.0.6, solucionando 6 problemas en cuanto a vulnerabilidades y dejando atrás la etapa 2.x en esta materia, por lo cual recomendamos mudarse a la última versión sí o sí, salvo que nos encontremos utilizando un sistema operativo libre como Debian o similar, el cual posee mantenedores de software específicamente dedicados a solventar problemas de seguridad informática en diversos paquetes.
Las vulnerabilidades encontradas y solucionadas con respecto a Mozilla Firefox también se encontraban en el software Seamonkey y en el cliente de mail Thunderbird, sin embargo, las actualizaciones de estos programas llegarán más adelante por una cuestión de prioridades.
Yendo directamente a lo técnico: los problemas solucionados se pueden clasificar en diversos niveles de importancia: crítica, alta, baja y moderada. En este sentido, el robo de archivos locales mediante SessionStore era una vulnerabilidad de algo riesgo, al igual que el cross-site scripting utilizando window.eval. y XBL; menos importante pero aún alarmante era el hecho de que un atacante podría elevar sus privilegios en el sistema operativo a través de archivos .desktop, y aún menos críticas eran las vulnerabilidades referidas a la lectura de cookies HTTPonly mediante XMLhttpRequest y el hecho de que Firefox no acataba las directivas de páginas web que indicaban no ser cacheadas. El problema más grave tenía que ver con el manejo de código JavaScript por la posibilidad de ejecución de código maligno.
Otra buena noticia: no se conocen exploits para estas vulnerabilidades y no consta que alguien haya aprovechado las mismas para cometer maldades.
Por Marcos Guglielmetti, el 08/02/2009.