Graves problemas de seguridad en Tiger y Firefox

Para los que se sentían seguros al evitar las plataformas inseguras, ahora pueden ir viendo que la seguridad total es una simple utopía.

Tiger: Leo en Slashdot que se encontró un grave problema de seguridad en el Mac OSX Tiger. Básicamente pueden instalarse "Dashboard Widgets" sin autorización con cierto código en una página web si usas ese sistema operativo y usás Safari. Un ejemplo pueden verlo si visitan esta página (si tienen una Mac solo visítenla bajo su propia cuenta) y para desinstalar ese widget hay que removerlo manualmente y luego rebootear.

Pero eso indica un agujero realmente grave en la seguridad del nuevo sistema de Apple; porque el widget se instala sin autorización y sin que el usuario se entere. ¿Cuanto tardará en aparecer Spyware y/o similares aprovechando este problema?

FF 1.0.3: Por otro lado la gente de FrSIRT acaba de descubrir un "exploit" grave en Firefox 1.0.3; donde, si uno hace click en una página con un código especial ese código puede crear y ejecutar automáticamente un archivo .exe/

Una solución no-oficial es: - Desabilitar JavaScript, y la opción "Allow web sites to install software" dentro del menú [Tools - Options - Web Features].

| Seguridad

3 thoughts on “Graves problemas de seguridad en Tiger y Firefox

  1. Otra razón más por la que prefiero esperar a que saquen el primer update antes de ponerle el “Tigre” a mi Mac… cosas así siempre son inevitables.

    Ese es el “problema” de Internet: Cuando se lanza un nuevo sistema operativo, siempre hay alguien con más tiempo que uno para descubrirle “bugs” y cosas que han pasado inexplicablemente del control de calidad del productor del OS. Solamente que ahora todo sucede a la velocidad del rayo, y de igual forma se espera que el fabricante responda así de rápido. Y hay otros a quienes esto no les desvela (verbigracia Microsoft)

    ¿Punto para el open-source?

  2. Respecto de la solución “no-oficial” para FF 1.0.3: si deshabilitas la opción “Allow web sites to install software” dentro del menú [Tools – Options – Web Features], resulta que no se puede actualizar a la nueva version 1.0.4 (que teoricamente corrige este problema)

  3. Para evitar este “agujero tremendamente grave” o “problema tan grave de seguridad”, basta con desmarcar la opción “Open ‘safe’ files after downloading”.

Comments are closed.