Firefox 2.0 e Internet Explorer 7 salen a la luz con varios fallos de seguridad

Sin embargo, hasta donde nosotros mismos hemos podido comprobar, ambos problemas afectan tambi?n al Internet Explorer 5 y 6, y al menos uno de ellos, es un fallo nunca corregido por Microsoft. En ambos casos es f?cil evitar el problema.

Seg?n el primer reporte de Secunia, divulgado el mismo d?a de la salida oficial del IE7 (19 de octubre de 2006), un sitio malicioso podr?a acceder a datos de otros sitios cargados en otras ventanas del navegador abiertas. Por ejemplo, si usted ingresa a un sitio de confianza para realizar sus actividades bancarias en l?nea, y al mismo tiempo visita en otra ventana un sitio controlado por un pirata, el sitio maligno podr?a obtener la informaci?n intercambiada con su banco.

Los desarrolladores de Microsoft, el mismo d?a de revelada la debilidad, afirmaron en su blog de seguridad, que el problema anunciado no se encuentra en el IE7, sino en un componente de Windows, el cu?l afecta espec?ficamente al Outlook Express, pero que puede utilizar como vector de ataque al navegador.

La segunda vulnerabilidad, tambi?n reportada por Secunia esta misma semana, permite que se abra una ventana emergente con un contenido falsificado, pero con el t?tulo de un sitio verdadero visitado por el usuario, lo que podr?a ser utilizado en ataques de phishing. El problema se produce no solo en el IE7, sino tambi?n en el IE6 con todos los parches actualizados. Al momento de publicarse este art?culo, no tenemos referencias de que se trate de una vulnerabilidad recientemente descubierta, o de alguna existente que no haya sido a?n solucionada por Microsoft.

En su blog de seguridad, Microsoft reconoce el problema, pero indica que el nuevo filtro anti-phishing del IE7, puede ayudar al usuario a no ser engañado por un sitio malicioso en casos como ?ste.

El filtro anti-phishing act?a de dos maneras, una de ellas realizando un an?lisis heur?stico de las p?ginas web visitadas, y avisando al usuario cuando existen en las mismas caracter?sticas peligrosas. La otra, es a trav?s de la base de datos de sitios que falsifican p?ginas verdaderas, la cu?l es constantemente actualizada, y cuyo contenido es informado al navegador en tiempo real.

Pero el filtro anti-phishing, al contrario del que tambi?n incorpora el Firefox, no est? activado por defecto.

De cualquier modo, ninguno de los dos problemas puede ser catalogado como cr?tico.

Lo mismo ocurre con los dos fallos reportados en el Firefox 2.0, a pesar de lo que claman algunas listas de seguridad.

Seg?n Window Snyder, la nueva jefa de seguridad de Mozilla (ex integrante del equipo de Microsoft), estos anuncios "solo son puro ruido". Ninguno de los dos asuntos representan un riesgo verdadero para los usuarios de Firefox, seg?n Snyder.

Uno de los problemas est? relacionado con una vulnerabilidad corregida en una versi?n anterior de Firefox, y en un informe enviado a la lista Bugtraq, fue catalogado como cr?tico.

Pero Snyder afirma que esto es inexacto. Ella dice que la vulnerabilidad realmente fue solucionada en su momento, y la ahora detectada es un problema secundario, aunque relacionado, y que solo puede hacer que Firefox deje de responder o se cierre.

"Se trata de una denegaci?n de servicio, el programa solo deja de responder," dice Snyder. "De todos modos lo examinaremos para cerciorarnos que no hay realmente nada all?."

El segundo informe, publicado en la lista Full Disclosure, menciona la existencia de un problema en Firefox 2.0 que podr?a ser explotado para engañar al usuario y obligarlo a revelar informaci?n confidencial. Pero la informaci?n aportada no es suficiente para que Mozilla determine si realmente hay un problema.

Otra vez Snyder asegura no tener datos suficientes para identificar el fallo, si es que ?ste realmente existe. "Si obtenemos m?s informaci?n, entonces lo investigaremos," dijo.

Internet Explorer 7 y Firefox 2, han puesto todo su ?nfasis en la seguridad, y ambos fueron publicados apenas con unos d?as de diferencia (de todos modos, la versi?n en español del IE a?n no est? disponible, al contrario del Firefox, que desde el d?a de su lanzamiento ten?a versiones en nuestro idioma).

Caracter?sticas como filtros anti-phishing, y protecci?n contra ejecuci?n de software malicioso al visitar una p?gina Web, son comunes en ambos, aunque cada uno utilice su propia t?cnica para implementarlas.

Tanto Mozilla como Microsoft, ahora parecen coincidir en pedir una actitud responsable a los cazadores de bugs.

Para Mike Schroepfer, vicepresidente de ingenier?a de Mozilla, los investigadores son libres de buscar errores en Firefox. "Sin embargo," dijo, "esos bugs deber?an ser informados responsablemente a Mozilla, en vez de revelarlos antes p?blicamente".

"Es muy importante que la comunidad de la seguridad trabaje tan duro para ayudarnos a identificar los fallos," dijo Snyder. "Una vez que ellos son identificados, podemos corregirlos r?pidamente."

La verdadera lecci?n en todo esto, deber?a ser no confiar en que tal o cu?l navegador pueda ser m?s seguro que otro.

M?s all? de preferencias personales, es importante reconocer que no existe ni existir? jam?s un programa totalmente seguro. A?n cuando el software mejore sus prestaciones, y se agreguen mejores herramientas para protegernos, el componente m?s importante de la seguridad inform?tica no es la tecnolog?a, sino las personas.

Del mismo modo que no abrimos las puertas de nuestras casas a cualquier extraño que se presente, deber?amos tener en cuenta nuestra actitud al navegar. Internet no es algo muy diferente a la calle, con sus mismos peligros, y las mismas precauciones a la hora de transitar por ella.