Mozilla cubrirá la brecha CSRF de Firefox con su próxima actualización
Mozilla ha anunciado que se enviarán las actualizaciones de seguridad para Firefox 3.5 y Firefox 3.6 el próximo martes, poniendo fin a un debate sobre si se debe esperar a una revisión que afecta al software de Adobe.
Firefox 3.5.17 y Firefox 3.6.14 aparecerán el martes 1 de marzo, según ha avanzado Mozilla. Aunque originalmente estaba programada para lanzarse el 14 de febrero, las actualizaciones de seguridad se llevaron a cabo mientras los desarrolladores de Mozilla investigaban un error que afectaba a algunos (no todos) los usuarios de las betas. Según Mozilla, el error motivó que algunas copias de las actualizaciones fallaran en varias ocasiones.
Casi al mismo tiempo, apareció una vulnerabilidad de tipo CSRF (cross-site request forgery). "Adobe está preocupado acerca de que sea un ataque de día cero y quiere que enviemos rápidamente el parche", asegura Mozilla en su sitio. Se supone que la vulnerabilidad está en Firefox, pero Mozilla no ha proporcionado información sobre cómo puede afectar el software de Adobe.
A diferencia de Google Chrome, Firefox no incluye software de Adobe. Sin embargo, Adobe Reader y Flash plug-ins se encuentran en la mayoría de los navegadores de los usuarios.
Algunas vulnerabilidades CSRF pueden permitir a los atacantes ejecutar código remoto contra un navegador vulnerable. Si estamos ante este fallo en Firefox y no se soluciona pronto, el navegador puede ser vulnerable a los ataques en Pwn2Own, el concurso de hacking que comienza el 9 de marzo en la conferencia de seguridad CanSecWest en Vancouver (Canadá). Firefox será uno de los cuatro navegadores (junto a Chrome, Internet Explorer y Safari de Apple) blanco de los atacantes.
