Diversos expertos de seguridad en Red acaban de descubrir dos agujeros de seguridad “extremadamente críticos” en Firefox, el navegador de Mozilla. Ambas vulnerabilidades, todavía sin parche, pueden permitir a un atacante hacerse con el control del sistema.
Los agujeros explotan la vulnerabilidad de dos formas diferentes. En primer lugar, un atacante podría crear una página maliciosa para hacer creer al usuario que el software que instala proviene de un sitio seguro. Por defecto, Firefox permite las instalaciones de software desde update.mozilla.org y addons.mozilla org, pero los usuarios pueden incorporar sus propios sitios. Por otra parte, el fallo afecta al mecanismo de instalación del software. Como resultado, el usuario puede hacer clic en un icono y provocar la ejecución de código malicioso JavaScript. Puesto que el código se ejecuta desde la interfaz de usuario del navegador, el atacante tiene los mismos privilegios que el usuario que corra Firefox.
Si bien se espera que el agujero pueda parchearse pronto, los usuarios pueden mientras tanto protegerse desactivando JavaScript. Por otra parte, Mozilla Foundation ha conseguido que los agujeros sean imposibles de explotar mediante cambios en los mecanismos de descarga en los sitios update.mozilla.org y adonis.mozilla.org.
En los meses anteriores, Firefox ha obtenido un importante porcentaje de mercado respecto a Internet Explorer, en parte porque se piensa que resulta menos vulnerable a los ataques. Sin embargo, analistas de la industria han advertido de que el navegador es más seguro debido a su relativamente pequeña base de usuarios.
www.mozilla.org
