Mozilla corrige varias vulnerabilidades críticas en sus productos

Mozilla corrige varias vulnerabilidades críticas en sus productos

Javier Sanz

Las últimas actualizaciones de los productos Mozilla, como el navegador Firefox o el lector de correo electrónico Thunderbird, ha supuesto también la corrección de varios fallos de seguridad, la mayor parte de los cuales son considerados «críticos» por la propia compañía ya que permitían a un atacante remoto ejecutar código arbitrario y comprometer los sistemas afectados. Se recomienda a todos los usuarios de productos Mozilla actualicen a la mayor brevedad posible a las últimas versiones publicadas, que corrigen las vulnerabilidades detectadas y previenen de potenciales ataques derivados.

Ya disponibles Firefox 1.5.0.2 y SeaMonkey 1.0.1, mientras que Thunderbird 1.5.0.2 se espera inmediatamente. Por otro lado, Symantec ha elaborado una comparativa entre el Firefox e Internet explorer que suscita de nuevo el debate sobre qué navegador es más seguro.

El titular que ha transcendido del informe es que Firefox ha tenido más vulnerabilidades que Internet Explorer en lo que ha transcurrido de año. Sin embargo, desde Hispasec podemos argumentar que a día de hoy es más seguro navegar con Firefox que con Internet Explorer.

Este tipo de informes cuantitativos siempre se presta a debates donde cada parte implicada hace su propia lectura interesada.

Vamos a intentar ver desde un punto de vista objetivo que dice el informe de Symantec, partiendo de que en el equipo de Hispasec se utiliza indistintamente ambos navegadores entre otros, conviven varias plataformas, sistemas operativos, y no mantenemos intereses con ningún desarrollador de software.

Por un lado el informe de Symantec pone de relieve que durante el primer semestre de 2005 Mozilla ha reportado 25 vulnerabilidades en sus navegadores, mientras que Microsoft en ese mismo periodo ha confirmado 13 vulnerabilidades en Internet Explorer. Eso es un dato objetivo que en principio inclinaría la balanza claramente a favor de Internet Explorer.

Si en vez de quedarse en ese dato se sigue leyendo el informe, en el mismo encontramos que de las 25 vulnerabilidades de Mozilla 8 de ellas fueron consideradas de alto riesgo, el mismo número que en el caso de Internet Explorer, también 8 de alto riesgo. En este punto ambos quedarían en tablas.

Un dato no cuantitativo del informe, pero no menos importante, revela que sólo se han detectado incidentes de explotación masiva de las vulnerabilidades reportadas en el caso de Internet Explorer, y no en ningún otro navegador. Aquí se refleja que la navegación con Firefox es más segura que con Internet Explorer.

Llegados a este punto del informe de Symantec se puede concluir que en lo que va de año se han publicado oficialmente más vulnerabilidades de Firefox que de Internet Explorer. En cuanto a las vulnerabilidades de alto riesgo, ambos se encuentran emparejados. Mientras que a efectos prácticos, en el mundo real y no en un plano teórico, navegar con Internet Explorer resulta más peligroso ya que los ataques se siguen dirigiendo de forma mayoritaria al navegador de Microsoft.

El que los atacantes decidan fijar su atención más en Internet Explorer que en Firefox poco tiene que ver con la facilidad de explotación en aplicaciones de código abierto o cerrado. De hecho, publicado un parche, sin haber transcendido detalles sobre como explotar la vulnerabilidad, siempre es más fácil desarrollar el exploit para una aplicación de la que se tiene acceso al código y que fomenta el full-disclosure, en vez de tener que recurrir a la ingeniería inversa como ocurre en casos de aplicaciones cerradas con políticas más restrictivas en la publicación de vulnerabilidades.

Sin embargo éste no parece ser un handicap importante para los atacantes, y así lo demostrarían los tiempos de desarrollo y publicación de exploits en ambos casos. En el informe de Symantec, por ejemplo, se da como media que el tiempo entre que se publica una vulnerabilidad y desarrollan el exploit ha descendido a 6 días, mientras que sitúa la media en 54 días el tiempo que transcurre entre la aparición de una vulnerabilidad y la publicación del parche, lo que abre una ventana de 48 días donde los sistemas pueden ser vulnerables.

4 Comentarios