Firefox 1.5: tocado y hundido

Ayer se publicó un “exploit” que permite ejecutar con éxito ataques DoS contra Firefox 1.5 mediante un simple código Javascript.

Este código provoca que el archivo history.dat, en el que se almacena, como su nombre sugiere, el historial de las distintas webs visitadas con el navegador, crezca de forma desorbitada.

En concreto el script no hace más que establecer para document.title (el título del documento) una cadena de texto de tamaño desproporcionado.

Todos los intentos de volver a iniciar Firefox con este history.dat dañado fallarán hasta que se inicie el navegador con un nuevo perfil o bien se borre el archivo de historial.

Existen distintas soluciones temporales:

  • Deshabilitar el historial: Herramientas -> Opciones -> Privacidad -> Historial, e introducimos ‘0’ como valor para “Recordar páginas vistas en los últimos n días”.
  • Deshabilitar la ejecución de código Javascript: Herramientas -> Opciones -> Contenido, y desmarcamos la casilla “Activar JavaScript”.
  • Impedir que los scripts puedan modificar el título de los documentos, añadiendo una nueva clave en about:config con nombre “capability.policy.default.HTMLDocument.title.set” y valor “noAccess”

Firefox 1.5 exploit DoS

Comentarios
  1. Como solución momentanea ya la he tomado. Pero es lo que tiene el software libre, tardarán poco en actualizar 😉

    Gracias por el aviso.

    Responder

  2. confío en ello 😎

    Responder

  3. Anónimo

    Tocado y hundido, ¡qué exagerado!

    Responder

  4. el 8 Diciembre 2005 a las 9:11 pm dijo:

    Tocado y hundido, ¡qué exagerado!

    no era por ser catastrofista, porque total, sabiendo cómo se resuelve, es una gilipollez.
    simplemente ha sido el primer título que se me ha ocurrido 😳

    Responder

  5. Ikon

    Me parece una exageracion el titulo, considerando que esa vulnreavilidad se podria evitar con acciones tan simples como la instalacion de la extencion NoScript, la cual blokearia cualquier script.

    Recomiendo la instalacion de la extencion Noscript mientras se soluciona el problema

    http://www.noscript.net/whats

    Responder

  6. Ikon

    Olvidaba mencionar algo muy importante… la diferencia entre Firefox e Internet Explorer, es que en Firefox hay ocpiones de sobra para solventar cualquier tipo de problema, y que los tiempos de respuesta son cortisimos comparados con los de Internet Explorer, lo que asegura una rapida atencion a toda clase de bugs, cosa que Internet Explorer no tiene.

    Es importante reconocer eso para saber porque firefox es mejor que Internet Explorer :smile::smile:

    Responder

  7. Ikon el 8 Diciembre 2005 a las 10:59 pm dijo:
    se podria evitar con acciones tan simples como la instalacion de la extencion NoScript, la cual blokearia cualquier script.

    No es necesario instalar NoScript para desactivar JavaScript. Lo tienes en las opciones desde hace eones.

    Sólo sería útil en el caso de que quisieramos implementar una lista blanca y permitir JavaScript en alguno que otro sitio. Que por otra parte es precisamente lo que yo hago

    Responder

  8. Ikon el 8 Diciembre 2005 a las 10:59 pm dijo:

    Me parece una exageracion el titulo

    Que si… que ya he dicho que fue el primer título que me vino a la cabeza… 😮

    Responder

  9. Hay muchísimas cosas raras en esta nueva versión. Yo… digamos que por pereza de volver atrás no la he cambiado, pero sí estaba más cómodo con la anterior.

    Esperaremos una pronta actualización y a ver si además de ese error solucionan algunos de los otros que se han hecho presentes en inmensidad de páginas y weblogs.

    Ahora como para actualizar no hay que bajárselo todo entero… es muchísimo más cómodo. Así que… que empiecen a actualizar. 😛

    Responder

  10. Pues sí que parece que van a estrenar el update incremental bastante rápido.

    Responder

  11. WiZaRd_ el 8 Diciembre 2005 a las 11:48 pm dijo:
    Ahora como para actualizar no hay que bajárselo todo entero… es muchísimo más cómodo.

    Ya te digo. Y ya era hora, coño

    Responder

  12. En este post de MozillaZine dicen que no es un problema de seguridad, ya que no se puede explotar para ejecutar código arbitrario.

    Yo sinceramente no tengo mucha idea, pero por lo que dicen, el bug sólo provocaría que Firefox fuera más lento o se colgara.

    Responder

  13. […] No creo que tarde mucho en aparecer una solución mas estable y segura. Conociendo como funciona esto… Via Mundogeek […]

    Responder

  14. tocado y hundido quizá es excesivo… pero la primera en la frente… esa sí que sí…

    y seguro que aparecerán más problemas… recordad que, pese a que nos guste mucho, no es más que un programa… 😕

    Responder

  15. raul2010 el 9 Diciembre 2005 a las 9:33 am dijo:

    En este post de MozillaZine dicen que no es un problema de seguridad, ya que no se puede explotar para ejecutar código arbitrario.

    Yo sinceramente no tengo mucha idea, pero por lo que dicen, el bug sólo provocaría que Firefox fuera más lento o se colgara.

    seguro, ra.
    (Del lat. secūrus).
    1. adj. Libre y exento de todo peligro, daño o riesgo.
    2. adj. Cierto, indubitable y en cierta manera infalible.
    3. adj. Firme, constante y que no está en peligro de faltar o caerse.

    que lo llamen como quieran. yo le doy más amplitud a la palabra seguridad que el hecho de que no todo hijo de vecino pueda ejecutar código arbitrario en mi pc. eso es lo mínimo que hay que pedir, coño.

    Responder

  16. […] Actualizado 9-11-2005 Parece ser que hay un bug en el FireFox, en la versión 1.5. Lo podeis leer aquí. Aunque mi versión de Firefox sea la del paquete de Debian estable, yo he seguido los pasos que indican en el link y la página me ha vuelto a cargar correctamente, ¿es posible que fuera del historial de navegación? […]

    Responder

  17. noctuido

    ¡2.5 millones de caracteres en el title> ! Bueno creo que se han trabajado el encontrar el fallo. 😆

    En cuanto al título, pues sí un poco exagerado.

    Saludos.

    Responder

  18. Anónimo

    despues se quejan de microsoft…. si eso le hubiera pasado al IE todos estarian como putas diciendo … ay… este IE es una mierda..

    hipocritas

    Responder

  19. Mario

    Pues si que habrían tocado y hundido veces al IE

    Responder

  20. A mi me ha dado algunos problemas con el desarrollo de una extension para FireFox que funcionaba bien en las versiones anterioes, pero tuve que realizarle modificaciones para adaptarlo a esta… sin duda varias cosas diferentes en esta version de FireFox.

    Responder

  21. alberto

    pero, a ver,nadie se ha dado cuenta,que cualquier navegador,opera,netscape,le pasa lo mismo,cargas una web con javascript y los recursos que pasa a consumir el navegador suben a mas de l 50 %,no es problema sol ode firefox,por tanto huele a agujero de windows xp,

    Responder

  22. superscript

    una pregunta… porque tanta locura anti IE, anti Microsoft, son solo programas, no sean retrogradas, todos tienen fallos, y hay que saber aprovechar las cosas buenas, y bancarse las malas.
    Firefox es mas rapido, pero lo de seguro, esta por verse, solo es que la mayoría de los ataques estan dirigidos a IE, pero si fuese al reves… hay que ver quien aguanta !!!

    Responder

  23. el-chupavacas

    si totalmente, no me canso de poner lo mismo una y otra vez en todos los foros habidos y por haber: firefox es caca, especialmente en linux. No se bien cual es ese exploit del que tanto hablan, pero seguro que se trata de algunos de los tantos que me afectan algo tan basico como respirar: la navegacion. Resulta que con esta mierda de la que estamos hablando, a cada pagina que voy me pone un 404 not found a pesar de borrar mil veces el historial y su puta cache; sino me lleva a la pagina de google españa y hasta me llego a dar un 405 method no corresponde o que se yo…. Como siempre, ff es una poronga

    Responder

Deja un comentario