¿Otro exploit para Firefox?
En las últimas horas se habló mucho de la seguridad de Firefox, y parece que no en los mejores términos. Si bien el exploit descubierto hace muy poco, significaba un peligro crítico, la verdad de la historia es que se creó el exploit luego de que desde Mozilla reconocieran el agujero de seguridad (¿en algún momento se debatió lo ético del "hackeo"?). Ahora resulta ser que se busca la más mínima posibilidad para tachar a este navegador de inseguro.
No debería resultarnos extraño pues, que a la mínima aparezcan informes "serios" que dicten sentencia sin contrastar realmente la información. Si la semana pasada el tema fue que el exploit estaba, y no había parche (cuando en realidad se demostró que el parche estaba antes que el exploit). Ahora el asunto es que ante un cuelgue de la aplicación, ya se recurre a un informe de IBM, que desde Mozilla han tenido que aclarar que es un error.
Según Mike Shaver, en el post que escribió personalmente en Mozilla Security Blog, afirma que:
Como resultado de nuestros análisis, no creemos que esto represente una vulnerabilidad explotable en Firefox. Más aún, creemos que el reporte de IBM está en un error, y que el rating de gravedad de la National Vulnerability Database es incorrecto. Ya los hemos contactado, y esperamos que resuelvan este error lo más pronto posible.
En realidad el problema es con un bug que se ha abierto, y que tiene que ver con cómo Firefox administra ciertas cadenas Unicode que son demasiado largas. Es un problema que no ocurre en todas las versiones, ni en todos los sistemas operativos. En ningún caso hay riesgo de ejecución de código remoto. En Windows el cuelgue de la aplicación ocurre en las versiones 3.0.x, mientras que en OS X, es un problema del sistema de librería ATSUI (que es parte del SO), y ya se han puesto en contacto con Apple para ver si puede solucionarlo.
Con esto no queremos ser soberbios y pretender que Firefox es un navegador 100% seguro. Pero sí que su proceso claro y transparente no deja mucho lugar a estos malentendidos. Si bien no es un navegador infalible, su proceso para publicar parches es bastante más frecuente y seguro que en otros navegadores. Y que se descubran agujeros o vulnerabilidades, no significa que sea un navegador con muchos fallos, sino que hay mucha gente interesada en colaborar y desarrollar un producto que se preocupe por el usuario, y por su experiencia web.