Firefox añade protección para Flash

La próxima actualización del Firefox de Mozilla, que estaba prevista para mañana, hará también un repaso de antiguas versiones de Flash Player, que suele ser objetivo de los hackers.

Este movimiento es el primero en este sentido que hace el fabricante del navegador de código abierto contra los plug-ins antiguos y más vulnerables a los ataques de fabricantes como Apple, Adobe, Microsoft o Sun.

Un experto en seguridad ya ha mostrado su satisfacción al respecto. “Se trata de un modo estupendo de mejorar la seguridad de los navegadores Web”, ha declarado Wolfgang Kandek, responsable de tecnología de la firma de seguridad Qualys en un post. “Flash suele ser utilizado por los atacantes para entrar en máquinas clientes y es, desgraciadamente, muy difícil de actualizar, pues en Windows, por ejemplo, es necesario contar con diferentes paquetes de actualizaciones para Internet Explorer y todos los demás navegadores”.

Firefox 3.5.3 and Firefox 3.0.14, que son actualizaciones de seguridad para las últimas versiones de Firefox, la 3.5 y la 3.0 , se lanzarán mañana. Una vez instaladas, los usuarios de Firefox recibirán un mensaje en sus equipos si es que cuentan con una versión antigua de Flash Player. El mensaje dirá algo así: “Debería actualizar Adobe Flash ahora mismo”. “Firefox está actualizado, pero su actual versión de Flash podría causar importantes daños en lo que a seguridad y estabilidad del equipo se refiere. Por favor, instale la versión gratuita lo antes posible”. Este mensaje también incluirá un vínculo que llevará a los usuarios hasta la página de descargas gratuitas del último plug-in de Flash Player. 

“Por ahora, estamos centrados en Adobe Flash Player, tanto por su popularidad como porque algunos estudios han mostrado que, cerca de un 80 por ciento de los usuarios, disponen de una versión antigua”, ha declarado Johnathan Nightingale, miembro del grupo de seguridad de Firefox en un blog de la compañía.

Nightingale se refiere con esto a un artículo de mediados de agosto realizado por la firma de seguridad Trusteer, en el que se afirmaba que dos semanas después de que Adobe resolviera los problemas de seguridad de Flash, cerca del 80 por ciento de los 2,5 millones de PC escaneados por su servicio de seguridad, no se habían actualizado.

Algunos de los usuarios que pueden verse afectados más rápidamente por el plug-in de comprobación de Firefox serán aquellos que trabajen con el sistema operativo Snow Leopard de Apple. A partir de mañana, los usuarios de Firefox que utilicen Snow Leopard serán avisados de que pueden tener problemas al actualizar sus navegadores.

Así las cosas, Mozilla tiene previsto expander el plug-in de comprobación de los sistemas. “Mozilla trabajará con otros fabricantes de plug-in para proporcionar sistemas de comprobación similares para sus productos en el futuro”. Y es que, tal y como avisa, “mantener el software actualizado sigue siendo una de las mejores medidas que se pueden tomar para mantenerse a salvo en Internet y Mozilla continuará buscando modos para hacer que ese proceso sea lo más sencillo posible para sus usuarios”.

En un comentario surgido a raíz del post de Nightingale, Christopher Blizzard, un evangelista de Mozilla y antiguo miembro de la mesa de Fundación de la compañía, explicó con más detalle lo que Mozilla realmente quiere hacer.

Así, según él, a finales de este mes, Mozilla publicará una página en su sitio Web que podrán visitar los usuarios de Firefox para comprobar el estado de actualización de otros plug-ins. Con el lanzamiento de Firefox 3.6, previsto por ahora para principios de noviembre, el navegador comprobará las nuevas versiones de los plug-ins utilizando el mismo mecanismo que ahora emplea para comprobar actualizaciones de cualquier extensión o add-on instalada de Firefox. “Vamos a intentar llegar al punto en el que se pueda actualizar un plug-in a través del servicio que ya utilizamos actualmente para las instalaciones”.

De hecho, las ambiciones de Mozilla van más allá, según un plan publicado en su página web. Y es que, todo parece indicar que Firefox 3.6 también avisará a los usuarios en el caso de que cuenten con cualquier plug-in pasado de fecha. Y lo hará cuando visiten una página que requiera el uso de un plug-in antiguo, cuando se inicie el navegador y cuando se actualice periódicamente por Mozilla.

El principal objetivo es conseguir que Firefox 3.6 detecte versiones antiguas de muchos plug-ins muy utilizados, como QuickTime de Apple, el Flash de Adobe, Shockwave y Reader, así como Silverlight de Microsoft o el Java de Sun.

Lo cierto es que Flash es uno de los principales objetivos de los atacantes que, regularmente, explotan vulnerabilidades no resueltas en este software. Adobe ha arreglado el programa dos veces este año, en febrero y en julio. De hecho, entre los parches de julio se encontraba una solución para un fallo que los hackers han estado utilizando en los ataques de la última semana.

Si Mozilla implementa finalmente sus planes de plug-ins, Firefox 3.6 será el primer navegador en comprobar regularmente add-ons antiguos de otros desarrolladores.