Un parche para Firefox introduce una nueva vulnerabilidad

La última versión del navegador Firefox, la 2.0.0.14 corrige una sola vulnerabilidad, algo nada habitual teniendo en cuenta que cada nueva versión soluciona normalmente entre 4 y 8 vulnerabilidades. El problema de seguridad que corrige, además, tiene su origen en una actualización anterior. 

 Apenas dos semanas después de anunciar la versión 2.0.0.13, Mozilla volvía a lanzar una nueva versión que corregía una sola vulnerabilidad, la MFSA 2008-20. Esta de describía como una denegación de servicio a través del recolector de basura de JavaScript. Según el anuncio, este 
parche corrige ciertos problemas de inestabilidad que pueden llevar a que la aplicación deje de responder. El problema es que se sabe que bajo ciertas circunstancias, 'cuelgues' de esta misma naturaleza han podido llegar a ser explotables en el pasado, y por tanto, permitir la ejecución de código. Parece que Mozilla se ha curado en salud y ante los problemas de inestabilidad y la posibilidad de explotación, se ha adelantado a lanzar una nueva versión que corrige el fallo. 
 
Curiosamente esta potencial vulnerabilidad que podría permitir ejecución de código, ha sido introducida por un parche anterior, el MFSA 2008-15, aplicado en la versión 2.0.0.13 del navegador. O sea, el código introducido para solucionar un problema corregido en 2.0.0.13 ha provocado no solo inestabilidad en el navegador, sino que ha introducido una nueva vulnerabilidad potencialmente aprovechable para ejecutar el código.  

Al compartir código, Thunderbird también se ve afectado. Como viene siendo habitual, el fallo está corregido en una hipotética versión 2.0.0.14 de Thunderbird no disponible desde el sitio oficial, que en 
un declarado proceso de abandono, todavía anuncia la 2.0.0.12 como la última versión del cliente de correo. 
 
No es la primera vez que esto ocurre con un navegador. El 8 de agosto de 2006 Microsoft publicó el boletín MS06-042. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica. En principio se detectaron ciertos problemas en la navegación tras la aplicación del parche, pero poco después se 
advirtió de que en realidad se trataba de una vulnerabilidad crítica para Internet Explorer. Investigadores de eEye comenzaron a indagar en este error y descubrieron que era aprovechable para la ejecución de código arbitrario. La versión del parche que lo solucionaba apareció el día 24 de agosto. A consecuencia de este descubrimiento, eEye y Microsoft se enzarzaron en una serie de acusaciones por el hecho de revelar información en un momento que Microsoft no consideraba adecuado. 
 
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3468/comentar
 
Más información:
 
23/08/2006 El último parche acumulativo para Internet Explorer introduce 
una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860
 
13/09/2006 Tercera edición del boletín MS06-042 de Microsoft
http://www.hispasec.com/unaaldia/2881
 
25/08/2006 eEye y Microsoft, en pie de guerra
http://www.hispasec.com/unaaldia/2862
 
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html
 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: