El pasado martes 9 de octubre se publicó la versión 16 de este conocido navegador que corregía hasta once vulnerabilidades críticas, muchas de las cuales permitían a un atacante ejecutar remotamente código arbitrario en los sistemas que contasen con versiones vulnerables del navegador.
No obstante, al poco tiempo de publicarse esta nueva versión se descubrieron graves fallos de seguridad en la misma, provocando que Mozilla retirase la versión 16.0 de su web de descargas temporalmente y llegando a recomendar la instalación de la anterior versión 15.0.1 para evitar problemas. Un par de días más tarde Mozilla corrigió las vulnerabilidades descubiertas y lanzó la versión 16.0.1 para los sistemas Windows, Mac y Linux así como también una actualización de su versión para Android.
El fallo descubierto permitiría a un atacante descubrir las webs visitadas por los usuarios usando una web maliciosa preparada para tal efecto, a la vez que también podría acceder a las URL o a los parámetros de las mismas. No obstante el grave fallo de seguridad, no se observó ninguna web que se estuviese aprovechando del mismo.
Otro interesante fallo de seguridad era el que presentaba Chema Alonso a través de su blog y que hablaba sobre la posibilidad de instalar extensiones en Firefox de forma silenciosa. Este descubrimiento realizado por el investigador Julien Sobrier a finales de septiembre.
Este fallo de diseño permitiría que se instalasen extensiones en Firefox sin preguntar al usuario. Esto es debido a que el mecanismo usado por el sistema de registro de extensiones para registrarlas e informar al usuario es bastante sencillo, pudiendose modificar el fichero donde se almacena este registro para que el navegador piense que el usuario ya le ha dado su aprobación y no vuelva a preguntarle. En el siguiente video puede observarse todo el procedimiento con mayor detalle.
Como vemos, ha sido una semana intensa para la fundación Mozilla y el navegador Firefox. Por suerte, el fallo descubierto en la versión 16 no tardó en ser subsanado y no dio tiempo a que fuese aprovechado por delincuentes. Con respecto al problema con la instalación de extensiones, esperamos que Mozilla tome buena nota de ello y lo solucione lo antes posible.
Fuente: Laboratorio Ontinet.com – Josep Albors