Fallo de seguridad grave en Firefox
Hace tiempo que deje de llevar la cuenta de los fallos de seguridad en los navedores: era un ejercicio que ocupaba demasiado tiempo y ayudaba muy poco a sacar conclusiones. Si me preocupa más el tiempo de respuesta, cómo se gestiona la crisis y la duración del intervalo durante el cual el usuario del software es expuesto al riesgo. También entiendo clave la transparencia de cara al usuario, actualizarse sin que el usuario tenga que ser proactivo y leer páginas web sobre seguridad.
Hoy debería haber tocado hablar de la beta de Firefox 1.5, que por cierto trae algunas novedades interesantes pero nada del otro mundo (véase Genbeta), pero también ha sido descubierto un fallo de seguridad grave en todas las versiones de firefox, incluida ésta. Los detalles están en Secunia (sitio con una lista de distribución muy interesante para seguir este tipo de noticias), pero básicamente es un bug en el modo en que tiene este navegador libre de manejar las URL que contengan el carácter 0xAD, problema que puede derivar en un desbordamiento de búffer con ejecución de código malicioso en nuestros equipos.
En estos tiempos en que Firefox baja en el número de usuarios y Explorer 7 está a la vuelta de la esquina, muchos van a mirar con lupa la gestión de este problema por parte del equipo de este genial navegador. Históricamente han ofrecido tiempos récord en la solución de este tipo de incidencias (aunque la experiencia le ha enseñado a uno que muchas veecs es mejor tardar más y realizar el mayor número posible de pruebas de regresión), y Firefox tiene un sistema de "auto-actualización", que no cunda el pánico.
Actualización: Ya está disponible el patch y toda la información para estar seguros en mozilla.org. Se publicó ayer, cuatro días después del aviso original (día cuatro de septiembre) y uno después de que se hiciese público (día ocho de septiembre).