Firefox 2.0 e Internet Explorer 7 salen a la luz con varios fallos de seguridad

penas salido al mercado el IE7, Secunia anunció lo que algunos llamaron "la primera vulnerabilidad" en el recién estrenado navegador. Y unos días después, un segundo agujero era descubierto.

Sin embargo, hasta donde nosotros mismos hemos podido comprobar, ambos problemas afectan también al Internet Explorer 5 y 6, y al menos uno de ellos, es un fallo nunca corregido por Microsoft. En ambos casos es fácil evitar el problema.

Según el primer reporte de Secunia, divulgado el mismo día de la salida oficial del IE7 (19 de octubre de 2006), un sitio malicioso podría acceder a datos de otros sitios cargados en otras ventanas del navegador abiertas. Por ejemplo, si usted ingresa a un sitio de confianza para realizar sus actividades bancarias en línea, y al mismo tiempo visita en otra ventana un sitio controlado por un pirata, el sitio maligno podría obtener la información intercambiada con su banco.

Los desarrolladores de Microsoft, el mismo día de revelada la debilidad, afirmaron en su blog de seguridad, que el problema anunciado no se encuentra en el IE7, sino en un componente de Windows, el cuál afecta específicamente al Outlook Express, pero que puede utilizar como vector de ataque al navegador.

La segunda vulnerabilidad, también reportada por Secunia esta misma semana, permite que se abra una ventana emergente con un contenido falsificado, pero con el título de un sitio verdadero visitado por el usuario, lo que podría ser utilizado en ataques de phishing. El problema se produce no solo en el IE7, sino también en el IE6 con todos los parches actualizados. Al momento de publicarse este artículo, no tenemos referencias de que se trate de una vulnerabilidad recientemente descubierta, o de alguna existente que no haya sido aún solucionada por Microsoft.

En su blog de seguridad, Microsoft reconoce el problema, pero indica que el nuevo filtro anti-phishing del IE7, puede ayudar al usuario a no ser engañado por un sitio malicioso en casos como éste.

El filtro anti-phishing actúa de dos maneras, una de ellas realizando un análisis heurístico de las páginas web visitadas, y avisando al usuario cuando existen en las mismas características peligrosas. La otra, es a través de la base de datos de sitios que falsifican páginas verdaderas, la cuál es constantemente actualizada, y cuyo contenido es informado al navegador en tiempo real.

Pero el filtro anti-phishing, al contrario del que también incorpora el Firefox, no está activado por defecto.

De cualquier modo, ninguno de los dos problemas puede ser catalogado como crítico.

Lo mismo ocurre con los dos fallos reportados en el Firefox 2.0, a pesar de lo que claman algunas listas de seguridad.

Según Window Snyder, la nueva jefa de seguridad de Mozilla (ex integrante del equipo de Microsoft), estos anuncios "solo son puro ruido". Ninguno de los dos asuntos representan un riesgo verdadero para los usuarios de Firefox, según Snyder.

Uno de los problemas está relacionado con una vulnerabilidad corregida en una versión anterior de Firefox, y en un informe enviado a la lista Bugtraq, fue catalogado como crítico.

Pero Snyder afirma que esto es inexacto. Ella dice que la vulnerabilidad realmente fue solucionada en su momento, y la ahora detectada es un problema secundario, aunque relacionado, y que solo puede hacer que Firefox deje de responder o se cierre.

"Se trata de una denegación de servicio, el programa solo deja de responder," dice Snyder. "De todos modos lo examinaremos para cerciorarnos que no hay realmente nada allí."

El segundo informe, publicado en la lista Full Disclosure, menciona la existencia de un problema en Firefox 2.0 que podría ser explotado para engañar al usuario y obligarlo a revelar información confidencial. Pero la información aportada no es suficiente para que Mozilla determine si realmente hay un problema.

Otra vez Snyder asegura no tener datos suficientes para identificar el fallo, si es que éste realmente existe. "Si obtenemos más información, entonces lo investigaremos," dijo.

Internet Explorer 7 y Firefox 2, han puesto todo su énfasis en la seguridad, y ambos fueron publicados apenas con unos días de diferencia (de todos modos, la versión en español del IE aún no está disponible, al contrario del Firefox, que desde el día de su lanzamiento tenía versiones en nuestro idioma).

Características como filtros anti-phishing, y protección contra ejecución de software malicioso al visitar una página Web, son comunes en ambos, aunque cada uno utilice su propia técnica para implementarlas.

Tanto Mozilla como Microsoft, ahora parecen coincidir en pedir una actitud responsable a los cazadores de bugs.

Para Mike Schroepfer, vicepresidente de ingeniería de Mozilla, los investigadores son libres de buscar errores en Firefox. "Sin embargo," dijo, "esos bugs deberían ser informados responsablemente a Mozilla, en vez de revelarlos antes públicamente".

"Es muy importante que la comunidad de la seguridad trabaje tan duro para ayudarnos a identificar los fallos," dijo Snyder. "Una vez que ellos son identificados, podemos corregirlos rápidamente."

La verdadera lección en todo esto, debería ser no confiar en que tal o cuál navegador pueda ser más seguro que otro.

Más allá de preferencias personales, es importante reconocer que no existe ni existirá jamás un programa totalmente seguro. Aún cuando el software mejore sus prestaciones, y se agreguen mejores herramientas para protegernos, el componente más importante de la seguridad informática no es la tecnología, sino las personas.

Del mismo modo que no abrimos las puertas de nuestras casas a cualquier extraño que se presente, deberíamos tener en cuenta nuestra actitud al navegar. Internet no es algo muy diferente a la calle, con sus mismos peligros, y las mismas precauciones a la hora de transitar por ella.