Mozilla urge a actualizar Firefox a los usuarios de Linux y Windows por una grave vulnerabilidad

Aunque en estos momentos la vulnerabilidad descubierta sólo afecta a través de un anuncio que se muestra en un sitio de noticias ruso, el exploit encontrado podría robar archivos y subirlos a un servidor de Ucrania sin que el usuario se diese cuenta.

Desde Mozilla y a través de su blog han advertido de un exploit que se da tanto en JavaScript como en el visor de PDF de Firefox, capaz de inyectar un script que puede buscar y cargar archivos locales. Según explican, la vulnerabilidad permite cargar las páginas con el exploit y robar archivos en segundo plano con suma facilidad.

Mientras que en Windows parece que el ataque se centra específicamente en archivos de configuración de FTP y en la información de la cuenta, en Linux el ataque parece más vulnerable, incluyendo las configuraciones globales y directorios de usuario. Los usuarios de Mac parece que, al menos de momento, no están en peligro, aunque no se descarta que el ataque descubierto finalmente también les incluya.

Desde Mozilla aseguran que el ataque no parece generalizado, centrándose únicamente en una red de publicidad rusa, aunque advierten que es probable que sea sólo cuestión de tiempo que se extienda a medida que más personas lo descubran.

Por tanto, todas las versiones de Firefox se ven afectadas y Mozilla urge a los usuarios para protegerse contra el exploit a una actualización inmediata a la versión 39.0.3.
Me saltó hace un ratito la actualización, bien por Mozilla [beer]
Curioso que los usuarios de Linux tengan más riesgo que los de Windows.
A mí me salió anoche, ni me había enterado de la noticia.
gynion escribió:Curioso que los usuarios de Linux tengan más riesgo que los de Windows.

En realidad es el mismo, el fallo del navegador es igual para todas, solo que en unos sistemas busca mas archivos que en otros.
Al fin y al cabo el problema es que se acceda, luego que se decida sacar depende de los intereses del autor.
No se supone que firefox es hipermega seguro?
En linux? En serio?
No es este el SO del que todos los "enteraos" de la informática te acosan con instalar?
Anda y que le den "Mozilla"!!
Pues yo desistí de firefox y mira que lo usaba mucho, metieron una actualización hace unos meses y desde entonces me iba muy lento y mal, encima ahora con windows 10 va peor, una lastima :(
loli777 escribió:Pues yo desistí de firefox y mira que lo usaba mucho, metieron una actualización hace unos meses y desde entonces me iba muy lento y mal, encima ahora con windows 10 va peor, una lastima :(

Yo lo único que he notado en Firefox, es que el adblock no va fino. Por lo demás, lo prefiero mil veces al Chrome.
Por cierto, antes de que os tireis a mi cuello por lo de "enteraos", yo también soy de esos que parecen que llevan un cartel en la frente que dice "Experto en informática gratis". Y también he tenido Linux Ubuntu. Y uso Linux todos los días... ;)
Tengo hoy la vena trol...
emupati escribió:En linux? En serio?
No es este el SO del que todos los "enteraos" de la informática te acosan con instalar?
Anda y que le den "Mozilla"!!


La ventaja de linux no es que esté exento de vulnerabilidades, sino, que al ser software libre se corrigen super rápido
Yo de firefox también desistí. Me gustaba hace años pero con cada actualización se hizo más pesado.
La actualización la recibí hace poco si .. todo en orden :cool:
emupati escribió:
loli777 escribió:Pues yo desistí de firefox y mira que lo usaba mucho, metieron una actualización hace unos meses y desde entonces me iba muy lento y mal, encima ahora con windows 10 va peor, una lastima :(

Yo lo único que he notado en Firefox, es que el adblock no va fino. Por lo demás, lo prefiero mil veces al Chrome.
Por cierto, antes de que os tireis a mi cuello por lo de "enteraos", yo también soy de esos que parecen que llevan un cartel en la frente que dice "Experto en informática gratis". Y también he tenido Linux Ubuntu. Y uso Linux todos los días... ;)
Tengo hoy la vena trol...

Ja, ja, ja muy bueno tu comentario.
No había caído que puede ser por adblock, pero dudo que sea por eso ya que me pasa viendo videos en twitch cuando están en pantalla pequeña se ralentiza de la ostia en cambio con otros navegadores no :-?
Joder, ¿Entonces esa rubia no quería casarse conmigo? Dos semanas traduciendo las etiquetas de la gaseosa del Lildl para nada... Al menos he aprendido a decir углекислота
owenfran escribió:
emupati escribió:En linux? En serio?
No es este el SO del que todos los "enteraos" de la informática te acosan con instalar?
Anda y que le den "Mozilla"!!


La ventaja de linux no es que esté exento de vulnerabilidades, sino, que al ser software libre se corrigen super rápido


Pues eso no es lo mismo que podías leer en los foros de internet hace unos años. La fé del converso, que lo llaman... XD XD

Pero efectivamente, la agilidad para parchear estas vulnerabilidades es lo mejor, como tú dices.

@CUARENTA No te preocupes, Svetlana sigue interesada en casarse contigo. Lo que se le olvidó decirte es que en el paquete vienen los hijos con su primer novio, y los padres y tíos que quieren venirse para España. Aprende a pronunciar дерьмо, que te vendrá muy bien... XD XD
curioso.... yo esta semana he recibido como una docena de mails con mensajes de error de entrega y spam vario, todos con enlaces a webs rusas...
Pues eso no es lo mismo que podías leer en los foros de internet hace unos años. La fé del converso, que lo llaman... XD XD

Pero efectivamente, la agilidad para parchear estas vulnerabilidades es lo mejor, como tú dices.

No hay sistema 100% seguro y quien diga lo contrario miente
Lo malo de estas actualizaciones de firefox es que luego los complementos (anonimox, ghostery, etc...) te dejan de funcionar.
c0d3m4st4 escribió:curioso.... yo esta semana he recibido como una docena de mails con mensajes de error de entrega y spam vario, todos con enlaces a webs rusas...


La velocidad con el tocino
owenfran escribió:
Pues eso no es lo mismo que podías leer en los foros de internet hace unos años. La fé del converso, que lo llaman... XD XD

Pero efectivamente, la agilidad para parchear estas vulnerabilidades es lo mejor, como tú dices.

No hay sistema 100% seguro y quien diga lo contrario miente


A mí no me lo cuentes, que eso era lo que yo le decía a todos los que me vendian la moto de que en linux/OS X no hay vulnerabilidades, ni virus ni malware.

Que sean sistemas a priori más seguros no quita para que todos estén expuestos.
jjrg89 escribió:No se supone que firefox es hipermega seguro?

Ningún explorador es hipermega seguro XD, siempre hay brechas. al menos Mozilla a actuado rápido y a capado la brecha, eso es lo bueno del software libre.
Yo de firefox también desistí. Me gustaba hace años pero con cada actualización se hizo más pesado.

¿Que explorador usas? Porque por ejemplo Chrome traga ram que da gusto [+risas] , traga hasta 6 veces más con las mismas pestañas abiertas.
Un saludo
Y vamos ya por la 39. En buena hora decidieron pasarse a ese pervertido sistema de versiones que usa Google.
Javascript, todo dicho [poraki]
loli777 escribió:
emupati escribió:
loli777 escribió:Pues yo desistí de firefox y mira que lo usaba mucho, metieron una actualización hace unos meses y desde entonces me iba muy lento y mal, encima ahora con windows 10 va peor, una lastima :(

Yo lo único que he notado en Firefox, es que el adblock no va fino. Por lo demás, lo prefiero mil veces al Chrome.
Por cierto, antes de que os tireis a mi cuello por lo de "enteraos", yo también soy de esos que parecen que llevan un cartel en la frente que dice "Experto en informática gratis". Y también he tenido Linux Ubuntu. Y uso Linux todos los días... ;)
Tengo hoy la vena trol...

Ja, ja, ja muy bueno tu comentario.
No había caído que puede ser por adblock, pero dudo que sea por eso ya que me pasa viendo videos en twitch cuando están en pantalla pequeña se ralentiza de la ostia en cambio con otros navegadores no :-?


AdBlock es uno de los complementos que más memoria gasta y no es broma. Además está demostrado que produce una pérdida de velocidad paulatina en el navegador.

Al compañero Noriko y al resto de EOLianos que les interese. Existe un complemento de Mozilla llamado "Add-on Compatibility Reporter" que sirve para no verificar que un complemento sirva para una versión concreta y funcionen igualmente. Eso sí, con la responsabilidad de que si fallan es cosa tuya, ya que no se garantiza que un determinado complemento funcione en esa versión del navegador en concreto.

https://addons.mozilla.org/es/firefox/a ... r/?src=api

Salu2
Hola, no se si lo he hecho bien, yo firefox lo tengo de secundario y como nunca lo uso lo tenía en la versión 32, como he visto esta noticia, lo he abierto y le he dado a acerca de, para que se actualizara, nada más entrar en acerca de, se ha descargado una actualización y me ponía reiniciar firefox, le dí, pero me saltó el típico mensaje de windows de que un programa está intentando hacer cambios en el equipo que si lo permito o no, entonces le dí que no, porque como tenía una versión vulnerable me asusté. Así que lo he desinstalado con ccleaner, y me he bajado e instalado la última versión de la web de mozilla.

¿He hecho bien?, supongo que aunque tuviera una versión vulnerable no me pasa nada, porque para infectarse había que navegar con ella ¿no?, y hace por lo menos 3 semenas que no entraba en el firefox.
Sidecloud escribió:
c0d3m4st4 escribió:curioso.... yo esta semana he recibido como una docena de mails con mensajes de error de entrega y spam vario, todos con enlaces a webs rusas...


La velocidad con el tocino



Iluminanos con tu sabiduría en lugar de hacer comparaciones porcinas...

Solo he dicho que casualmente me ha llegado mierda que enlazaba con webs rusas, y nunca antes había llegado, de hecho a esta cuenta no llega normalmente nada de spam. Te he dicho la web que era con la que enlazaban ? Lo mismo era la web de noticias de la que habla el artículo. Tu si haces algo para robar datos lo dejas ahí esperando que 4 tontos de tu páis entren ? El spam a nivel mundial es más efectivo. Pero mejor cuentanos tu teoría....
Lazebrazul escribió:Javascript, todo dicho [poraki]


No, no está todo dicho. JavaScript no puede leer archivos locales.

Y @Miguel Jorge, al traducir, ha hecho un flaco favor por informar y aclarar.

El exploit no se da tanto en JavaScript como en el visor, sino que por un bug en el visor de PDFs, se hace un payload al saltarse la regla de seguridad "Same-origin-policy" gracias al scripting the JavaScript dentro de/o a través de el visor PDF, supongo que al considerarse que se ejecuta en local.

No hay más detalles de la vulnerabilidad.

Vamos, churras con merinas.

Personalmente, nunca he usado los integrados de los navegadores. Hasta tengo deshabilitado el reproductor, a excepción de para el tag de vídeo HTML5, y esto probablemente lo acabe quitando para usar el plugin de VLC o similares.

Y, ciertamente, no me cabe en la cabeza 2 cosas:
- por qué Firefox incluyo un visor propio de PDFs (como si no tuvieran suficientes vulnerabilidades los visores normales)
- por qué se incluyó un sistema de scripts en los PDFs como JavaScript (¡bravo Adobe!)
Estamos hablando de un software de terceros no del sistema operativo, a ver si sabéis leer algunos
kai_dranzer20 está baneado por "Game Over"
esto con IE no pasa
Listo, ya estoy en 39.0.3 Gracias por el tip
Yo me quedé en la versión 3.6.28 y no me mueven ni los geos...
De los Rusos ya no te puedes fiar de nada. Cuantas veces me he metido en webs rusas buscando algun programa y saltarme el AVAST con alerta de virus. El Javascript es muy util para tema de responsive y demas pero es todo un peligro la verdad.


JohnH escribió:Y, ciertamente, no me cabe en la cabeza 2 cosas:
- por qué Firefox incluyo un visor propio de PDFs (como si no tuvieran suficientes vulnerabilidades los visores normales)
- por qué se incluyó un sistema de scripts en los PDFs como JavaScript (¡bravo Adobe!)



El primero es como preguntar, por que hay Firefox, Opera, chrome, IE, etc...? Con un solo navegador seria mas que suficiente. No te parece? lo mismo que el SO, programas, etc.... Si quieren crear un visor de PDF pues adelante, supongo que es para que al instalar un SO limpio no tengas que ir instalando plugins externos.

El segundo pues igual que el excel es posible programar javascript en un PDF. El problema es que con esta actualización repentina los scrips estan bloqueados. Hay gente que se monta cada PDF flipante con el Javascript. Como ver una pagina web petada con scriptaculous.


majebusa escribió:¡Chrome manda!


Sep, chrome manda sobre toda la RAM del sistema.

El mejor de todos es Internet Explorer, solo consume 50MB de RAM, no da nunca problemas con los plugins, no se traba con los videos de youtube y no da la tabarra con actualizaciones cada 2 x 3. La gente lo toma por el peor de todos pero la verdad que yo lo utilizo cada vez más porque ya estoy hasta los huevos de que se casquen cada rato por lo mismo. El Firefox solo me da pegas en Youtube (Puto HTML5) y en Unity que se queda como pensando unos minutos, abro el archivo unity o no lo abro...
owenfran escribió:
Pues eso no es lo mismo que podías leer en los foros de internet hace unos años. La fé del converso, que lo llaman... XD XD

Pero efectivamente, la agilidad para parchear estas vulnerabilidades es lo mejor, como tú dices.

No hay sistema 100% seguro y quien diga lo contrario miente


No sé si será 100% pero de momento Windows Phone es el único OS actual que sigue sin ser hackeado. Ni siquiera lo han conseguido en maratones de hackeo.
¿Esta vulnerabilidad afecta también a Iceweasel?
mmiiqquueell escribió:Sep, chrome manda sobre toda la RAM del sistema.

El mejor de todos es Internet Explorer, solo consume 50MB de RAM, no da nunca problemas con los plugins, no se traba con los videos de youtube y no da la tabarra con actualizaciones cada 2 x 3. La gente lo toma por el peor de todos pero la verdad que yo lo utilizo cada vez más porque ya estoy hasta los huevos de que se casquen cada rato por lo mismo. El Firefox solo me da pegas en Youtube (Puto HTML5) y en Unity que se queda como pensando unos minutos, abro el archivo unity o no lo abro...


De toda la vida, Firefox se ha chupado toda la RAM y si quiere, hasta la ROM del sistema... Chrome y Opera, son los dos mejores que he tenido el placer de probar.
mmiiqquueell escribió:
JohnH escribió:Y, ciertamente, no me cabe en la cabeza 2 cosas:
- por qué Firefox incluyo un visor propio de PDFs (como si no tuvieran suficientes vulnerabilidades los visores normales)



El primero es como preguntar, por que hay Firefox, Opera, chrome, IE, etc...? Con un solo navegador seria mas que suficiente. No te parece? lo mismo que el SO, programas, etc.... Si quieren crear un visor de PDF pues adelante, supongo que es para que al instalar un SO limpio no tengas que ir instalando plugins externos.


No es lo mismo, aunque tu ejemplo del sistema limpio tiene lógica.

Un navegador debe ser para interpretar las webs y punto.

Ver PDFs, déjaselo a un plugins o programa externo. De hecho, yo no uso plugins, lo descargo o lo abro en el lector directamente.

Es lo mismo, o casi igual, que el monopolio Windows y el navegador IE. Mejor todo en uno, y así sin opción, no, hombre, no.

Y, hasta cierto punto, si bien ya existía un reproductor en la era Netscape para midis y wavs, lo de tener ahora las tags audio y video y que se reproduzcan en el navegador, me parece de todo menos bien.

Total, que odiamos (yo por lo menos) a Flash, porque se usa para algo para lo que no está diseñado y resulta que ahora un navegador sí lo está para reproducir vídeo. Sin mencionar las habidas guerras de códecs a implementar en el navegador.

Sí, que es muy cómodo todo en el navegador, pero seguridad != comodidad, rendimiento != comodidad.
Firefox siempre, ni instalado el chrome tengo, mas que nada porque paso de que no tenga privacidad ninguna, en firefox do not track ya viene activado por defecto, cosa que chrome no tiene(normal) y ademas activada opcion en firefox: Indicar a los sitios que no quiero ser rastreado. Ademas como compañia prefiero una sin animo de lucro como Mozilla. Saludos
Esta noticia me concierne pues acabo de mandar a Chrome a paseo, no más, entre la pesadez al abrir, entre que no precisamente me sobra RAM y entre que suelo abrir muchas pestañas... adiós muy buenas.

He vuelto a mi viejo Firefox en el PC, algo cambiado a como le recuerdo, pero en el fondo es el mismo adorable pandita rojo que un día conocí [inlove] ...que también traga lo suyo, pero no como el goloso del Chrome. Por cierto, para aquellos cansados del AdBlock hay otro que se llama μBlock, más ligero y que bloquea más mierda que el AdBlock. También está para Firefox.

@mmiiqquueell Coincido contigo, Internet Explorer, sobre todo la versión app va como un tiro. Lástima que no haya extensiones porque si no ese sería mi navegador default. Y el Edge va aún mejor pero parece más una Alfa que una versión final.
Dentro de lo malo, actuaron bastante rápido.
loli777 escribió:Pues yo desistí de firefox y mira que lo usaba mucho, metieron una actualización hace unos meses y desde entonces me iba muy lento y mal, encima ahora con windows 10 va peor, una lastima :(


+1 Me fascinaba Firefox pero desde hace 2 actualizaciones se hizo extremadamente lento.
lástima
majebusa escribió:
De toda la vida, Firefox se ha chupado toda la RAM y si quiere, hasta la ROM del sistema... Chrome y Opera, son los dos mejores que he tenido el placer de probar.


De hace cuántos años hablas?, o haces una comparación actual?

Hace años Firefox chupaba considerablemente más que Opera (el original, no el fork que es ahora de chromium).

No sé tú, pero a mí me consume actualmente bastante más Chrome/Opera/Chromium que Firefox, te hablo al menos de hace menos de 2 años.
El tema del consumo es porque Chrome/Opera tiene dividido el consumo en pestañas independientes, Firefox es todo en uno, pero en unos meses Firefox pasará a hacer como los otros dos y consumir por pestaña abierta y no en conjunto, por lo que terminará con un consumo de ram similar al resto.
larga vida a firefox...desgraciadamente como usuatio de chromecast me veo "obligado" a usar chrome para sus aplicacionde streaming de video etc etc...la diferencia de consumo de recursos entre ambos se nota
Pues se agradece la rápida respuesta de Mozilla. En cuanto llegue a casa actualizo.

Un saludo.
Por lo menos han avisado rapido. Ultimamente estoy con chrome/firefox pero me sigue pareciendo mas comodo firefox, sea por costumbre o lo que sea...
Estas cosas pasan, al menos han reaccionado rápido. Yo lo utilizo a diario desde un Mac y encantado, pero es cierto que la versión de Linux rinde mucho menos, sobre todo con páginas que hacen uso intensivo del IndexedDB.

Saludos!
Después del 3.5 me cambié a chrome y no he vuelto a mirar atrás.
76 respuestas
1, 2