Quedan brechas de seguridad sin corregir en el browser Firefox

26 Jul 2007 en Seguridad

Hace algo más de una semana, Mozilla liberó Firefox 2.0.0.5, versión en la que se anunciaba la corrección de dos tipos de brecha de seguridad, entre otras mejoras. Aparentemente, los arreglos no funcionan adecuadamente. La falla se debía, según Mozilla, a la presencia de Microsoft Explorer instalado en una misma máquina que su browser Firefox.
La falla se informó por primera vez el 10 de julio e involucra a “Firefoxurl://,” el dispositivo que maneja el identificador de recursos uniformes (URI, por Uniform Resource Identifier), el cual a su vez permite que Firefox llame a otros recursos Web.
En el release 2.0.0.5 se informaba que “firefoxurl:// es un arreglo que sólo evita que Firefox y Thunderbird acepten datos malos. Este patch no corrige la vulnerabilidad presente en Internet Explorer.”
Pero Internet Explorer no es el único punto de ingreso para datos malos en Firefox.
“Creímos que se trataba sólo de un problema de IE, pero también hay problema con Firefox,” comentó el funcionario a cargo de la seguridad de Mozilla, quien luego agregó que la compañía está investigando el nuevo problema hallado.
Pero éste no es el único punto. Mozilla Firefox presenta otro tema de seguridad con su sistema de administración de passwords, encargado de almacenar las contraseñas de usuarios. La firma Heise Security informó que esta falla, descubierta en noviembre del 2006 y supuestamente corregida en la versión 2.0.0.2 de Firefox aparecida en febrero de este año, todavía existe. Además, el investigador en seguridad Robert Chapin había informado en marzo de este año que los usuarios seguían expuestos.
Esta situación fue admitida por la gente de Mozilla, informado que Password Manager es uno de los componentes que está siendo reconstruido para resolver los bugs