Un parche para Firefox introduce una nueva vulnerabilidad

CortafuegosSeguridadWorkspace

La vulnerabilidad creada se describía como una denegación de servicio a través del recolector de basura de JavaScript.

La última versión del navegador Firefox, la 2.0.0.14 corrige una sola vulnerabilidad, algo nada habitual teniendo en cuenta que cada nueva versión soluciona normalmente entre 4 y 8 vulnerabilidades. El problema de seguridad que corrige, además, tiene su origen en una actualización anterior.

Apenas dos semanas después de anunciar la versión 2.0.0.13, Mozilla volvía a lanzar una nueva versión que corregía una sola vulnerabilidad, la MFSA 2008-20. Esta de describía como una denegación de servicio a través del recolector de basura de JavaScript. Según el anuncio, este parche corrige ciertos problemas de inestabilidad que pueden llevar a que la aplicación deje de responder. El problema es que se sabe que bajo ciertas circunstancias, ‘cuelgues’ de esta misma naturaleza han podido llegar a ser explotables en el pasado, y por tanto, permitir la ejecución de código. Parece que Mozilla se ha curado en salud y ante los problemas de inestabilidad y la posibilidad de explotación, se ha adelantado a lanzar una nueva versión que corrige el fallo.

Curiosamente esta potencial vulnerabilidad que podría permitir ejecución de código, ha sido introducida por un parche anterior, el MFSA 2008-15, aplicado en la versión 2.0.0.13 del navegador. O sea, el código introducido para solucionar un problema corregido en 2.0.0.13 ha provocado no solo inestabilidad en el navegador, sino que ha introducido una nueva vulnerabilidad potencialmente aprovechable para ejecutar código.

Al compartir código, Thunderbird también se ve afectado. Como viene siendo habitual, el fallo está corregido en una hipotética versión 2.0.0.14 de Thunderbird no disponible desde el sitio oficial, que en un declarado proceso de abandono, todavía anuncia la 2.0.0.12 como la última versión del cliente de correo.

No es la primera vez que esto ocurre con un navegador. El 8 de agosto de 2006 Microsoft publicó el boletín MS06-042. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica. En principio se detectaron ciertos problemas en la navegación tras la aplicación del parche, pero poco después se advirtió de que en realidad se trataba de una vulnerabilidad crítica para Internet Explorer. Investigadores de eEye comenzaron a indagar en este error y descubrieron que era aprovechable para la ejecución de código arbitrario. La versión del parche que lo solucionaba apareció el día 24 de agosto. A consecuencia de este descubrimiento, eEye y Microsoft se enzarzaron en una serie de acusaciones por el hecho de revelar información en un momento que Microsoft no consideraba adecuado.