Recapitulando, vulnerabildades Internet Explorer 7 & Firefox 2.0

Recapitulando, vulnerabildades Internet Explorer 7 & Firefox 2.0
Este mes, después de una larga espera, hemos asistido a la aparición de los nuevos navegadores Internet Explorer 7 y una semana después el Firefox 2.0. Ambos introducen menjoras sustanciales respecto a sus versiones anteriores, aunque para los que ya utilizaban Firefox u Opera, su vida no va a cambiar demasiado.
La polémica ha surgido cuando, menos de un mes después de la aparición de estas versiones, ya se han encontrado varias vulnerabilidades de mayor o menor gravedad.
No creo que ninguno de los que estamos al día en estas cosas de la informática nos hayamos sorprendido demasiado por la aparición de estas vulnerabilidades.
Ya estamos acostumbrados a encontrarnos con exploits/vulnerabilidades nuevas justo al día siguiente de que se publiquen los parches correspondientes a cada mes y lo que ha ocurrido ahora con los navegadores no es muy diferente, es probable que algunos de los fallos que se están publicando hayan sidos detectados (iguales o con variaciones) en las betas publicadas anteriormente sin haberse publicado o corregido correctamente.
Os pongo a continuación un resumen de las vulnerabilidades que ya han salido tanto del Internet Explorer 7 como del Firefox 2.0

  • Internet Explorer 7:
    • El 19-10-2006, el mismo día que salió a la luz el IE7, se publicó en Secunia la primera vulnerabilidad de IE7, y para sorpresa de muchos, no es nueva, puesto que es la enésima del pasado IE6, que fue descubierta por “codedreamer” y que también había sido publicada en Secunia el 27 de Abril del 2006.
      La vulnerabilidad permite, desde un sitio malicioso, acceder a los datos de otras páginas abiertas, esto permite montar un ataque en el que desde una web maliciosa, que tiene que estar tambiénn abierta, aunque puede ocultarse fácilmente, puede espiar la información que el usuario introduce en otras páginas, es decir, cuaentas de correo, cuentas bancarias, etc.
      Microsoft respondió rápidamente en el blog “blogs.technet.com” en donde a parte de decir que “están trabajando en ello”, especificaron que el origen del problema no está en el IE7 sino en un componete del Outlook Express que puede ser utilizado desde el navegador.
      Esta observación de Microsoft ha sido refutada por LiuDieYu, todo un experto en estos temas, quien afirma en su blog que el problema está en el IE7.
    • El 25-10-2006 se publicó en Secunia la segunda vulnerabilidad del IE7, en este caso se trató de una falsificación de la barra de direcciones de un popup abierto desde la página maliciosa.Windows 98/ME
      En Secunia han publicado un “Proof of Concept” para demostrar la vulnerabilidad que abre un popup en el que la URL aparece falseada debido a que después de la dirección real se añaden múltiples caracteres ‘%A0’ seguidos de la cadena ‘www.microsoft.com’. En el popup sólamente se verá la URL ‘www.microsoft.com’.
      Puedes ver en la captura de http://isc.sans.org/diary.php?storyid=1804el resultado de la demostración.
      Por supuesto también se han pronunciado en Microsoft sobre este tema en su blog, esta vez a parte de decir que “están trabajando en ello” también se recuerda que el filtro anti Phishing del IE7 puede ayudarnos a no caer en estas trampas.
    • El 30-10-2006 salió a la luz la tercera vulnerabilidad (no está muy claro que se trate de una vulnerabilidad) del IE7, “Internet Explorer 7 Window Injection Vulnerability” también publicada en Secunia . La vulnerabilidad consiste en que una página malintencionada puede inyectar contenido en otra página de otro sitio si el nombre de la ventana objetivo es conocido. Esto puede ser explotado para inyectar contenido malicioso en una página de un sitio seguro, como por ejemplo las ventanas de login con user y password.
      También en esta ocasión el problema es antiguo, y ya afectaba al Internet Explorer 6.0 como se publico en Secunia en diciembre del 2004
      Respecto a esta vulnerabilidad, Microsoft ha negado que se trate de un fallo y defiende que es una característica del navegador, necesaria debido a que muchos sitios web, especialmente de negocios, reutilizan las ventanas, actualizando su contenido (no se yo…). Las explicaciones están el este post del blog de Microsoft
  • Firefox 2.0
    • En Agosto del 2006 se publicó una vulnerabilidad en el Firefox 1.5.0.x que quedaría solucionada en Septiembre con la versión 1.5.0.7 según el advisory oficial de Mozilla . Para demostrar esta vulnerabilidad se publicaron lo que en Kriptopolis llamaron “Los Torpedos de Zalewski” . El problema es que el Firefox 2.0 Final sigue siendo vulnerable al primero de estos “torpedos” (demo) .
      Window Snyder, jefa de seguridad de Mozilla, afirma que aunque el fallo antiguo era crítico, el nuevo fallo no es el mismo, aunque si está relacionado, sin embargo esta nueva variante no se puede considerar crítica puesto que como mucho hará que el Firefox se cierre.
    • Otro bug, publicado a principios de Octubre en bugzilla (bug 355221) también afecta a la versión 2.0, causando un crash del navegador, tal y como afirman en Kriptopolis y en extremeambient.net.
      Demo: http://www.extremeambient.net/wp-content/uploads/peta.html
    • El 27-10-2006 se publicó en la lista de Full-Disclosure otra nueva vulnerabilidad que afecta al Firefox 2.0 y 1.5.0.7 e inferiores.
      La vulnerabilidad ha sido publicada junto con un POC que provoca un D.O.S. en el navegador, pero todavía no se ha demostrado que pueda utilizarse para ejecutar código.
    • Hoy mismo (31-10-2006) se ha publicado un fallo en la protencción Anti-Phishing del Firefox 2.0 que considero muy grave, aunque no es una vulnerabilidad propiamente dicha.
      El fallo ha sido publicado en el foro de sla.ckers.org y es algo tan tonto y grave como que para evitar el filtro Anti-Phishing, una página maliciosa sólo tiene que codigficar en hexadecimal la ip del sitio malicioso.
      Sin duda es un olvido muy grave puesto que aunque en si mismo no representa una fallo de programación, si puede dar una sensación de falsa seguridad como dicen en Kriptopolis.
      Espero que sea corregido pronto.

Es curioso que gran parte de las vulnerabilidades mencionadas anteriormente sean en realidad viejas vulnerabilidades que reaparecen en las nuevas versiones, por lo que es relativamente normal este aluvión de vulnerabilidades en las primeras semanas de vida de estos navegadores puesto que no son fruto del estudio concienzudo de la seguridad que incorporan, sino que mas bien se trata del re-testeo de las viejas vulnerabilidades.

Sin duda no se puede decir que existe un navegador 100% seguro pero si se puede elegir entre navegadores mejores o peores, respecto a la seguirdad y a muchas mas cosas.

No voy a entrar aquí en cuestiones de diseño web (entre otras) y de porqué el equipo de desarrollo del Internet Explorer está empeñado en no respetar los estándares web publicados por el W3C, lo cual es sin duda uno de los mayores quebraderos de cabeza de los diseñadores web. Tampoco voy a sacar las estadisticas de vulnerabilidades que cualquiera puede consultar, en Secunia por ejemplo, para ver que navegador tiene mas vulnerabilidades. Lo que si puedo decir es que en el caso del Internet Explorer llueve sobre mojado, aún recuerdo cuando nos sorprendiamos con las vulnerabilidades del IE 5.0 y 5.5 que permitían ejecutar programas en el equipo de la víctima simplemente viendo una web, y tengo que reconocer que cosas como esa, lejos de quedarse en recuerdos, han llegado ha hacerse habituales y ya ni siquiera nos sorprenden cuando salen.

Se ha hecho mas que habitual ver como solución a estos problemas la típica frase “Solution: Use Firefox”, no se porqué pero en Microsoft la frase que suelen utilizar es algo mas parecido a “Update your Antivirus”, cada uno tendrá su opinión, pero a mi eso es lo que me viene a la cabeza.
Aunque el Firefox no está libre de problemas si que hemos comprobado muchas veces como incluso en caso de los 0-day, los parches eran publicados rápidamente, no como con el IE, que salvo casos gravísimos, nos tiene acostumbrados a tener que esperar un mes para poder navegar un poco mas tranquilos.

En fin, creo que ya he opinado demasiado, así que citando un célebre sabio “busque, compare y si encuentra algo mejor, comprelo” 🙂

Ref: http://cyruxnet.org/archivo.php?20061031.00
Publicado en Noticias

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: