L’home dibuixat

Actualització del Firefox a la versió 3.5.5. No es tracta d'una actualització per solucionar problemes de seguretat, ja que només incorpora canvis relacionats amb l'estabilitat. La relació de pegats inclosos és aquesta.

Podeu actualitzar directament des del navegador (al menú "Ajuda-->Comprova si hi ha actualitzacions...") o bé instal·lar la nova versió completa (Windows, Mac OS i Linux).

Publicada una actualització de seguretat del Firefox, que incorpora la solució a diversos problemes de seguretat:

• MFSA 2009–64: Crashes with evidence of memory corruption (rv:1.9.1.4/ 1.9.0.15)
• MFSA 2009–63: Upgrade media libraries to fix memory safety bugs
• MFSA 2009–62: Download filename spoofing with RTL override
• MFSA 2009–61: Cross-origin data theft through document.getSelection()
• MFSA 2009–59: Heap buffer overflow in string to number conversion
• MFSA 2009–57: Chrome privilege escalation in XPCVariant::VariantDataToJS()
• MFSA 2009–56: Heap buffer overflow in GIF color map parser
• MFSA 2009–55: Crash in proxy auto-configuration regexp parsing
• MFSA 2009–54: Crash with recursive web-worker calls
• MFSA 2009–53: Local downloaded file tampering
• MFSA 2009–52: Form history vulnerable to stealing

La importància de les vulnerabilitats es mostra pel color: crítica, alta, moderada o baixa.

Al maig ja vaig comentar que Microsoft havia aprofitat les actualitzacions mensuals per instal·lar una extensió al Firefox.

Ara s'ha descobert una vulnerabilitat en aquesta extensió que pot ser utilitzada de forma remota. Microsoft ha solucionat la vulnerabilitat a l'Internet Explorer, però no al Firefox i la recomanació que dóna és desactivar l'extensió.

Per a desactivar-la cal anar a Eines->Complements i dins de l'apartat "Extensions", fer que l'extensió "Microsoft .NET Framework Assistant" estigui desactivada… o directament desinstal·lar-la.

Actualització. En una segona lectura veig que Microsoft ha afegit un aclariment, indicant que el fet d'instal·lar l'actualització del sistema operatiu també protegeix als usuaris de Firefox.

Actualització 2: La Fundació Mozilla indica que, d'acord amb Microsoft, ahir va bloquejar aquesta extensió i, posteriorment, després de rebre la confirmació per part de Microsoft que no incorporava cap vulnerabilitat, ha quedat marcada per permetre la seva utilització.

ForceHTTPS és una proposta de mecanisme per augmentar la protecció de les pàgines web a les que es connecta via HTTPS. Es basa en un control estricte dels errors.

Hi ha disponible un article que presenta el mecanisme (ForceHTTPS: Protecting High-Security Web Sites from Network Attacks), la presentació feta a la World Wide Web Conference i una implementació d'exemple per a Firefox, amb protecció ampliada per a Gmail, Paypal, America Express, Chase i Fidelity.

[Channel & Register] Mozilla catches half of Firefox users running insecure Flash. La última actualització publicada del Firefox realitzava una comprovació de la versió de l'Adobe Flash instal·lada i, en cas de no ser la última, informava a l'usuari i li donava l'oportunitat d'actualitzar-se.

Bé, finalment han estat 6 milions d'usuaris els que han fer l'actualització, dels quals una mica més de la meitat se'ls hi ha mostrat l'avís d'actualització. Dissortadament l'èxit de l'experiència és relatiu, ja que dels 3 milions d'usuari que havien d'actualitzar, només ho han fet un 35%.

Això vol dir que encara avui hi ha 2 milions d'usuaris de Firefox vulnerables.

[Sophos] Fake Flash for Firefox explica l'existència d'un troià que s'amaga com si fos l'extensió Flash del Firefox:

Troj/FFSpy-A s'amaga com l'extensió Flash del Firefox

´
No es tracta d'un malware especialment dolent: monitoritza les cerques que fem via Google i les envia a un servidor remot, alhora que insereix propaganda a les pàgines web que visitem.

[The Washington Post] Future Firefox to Nag Users on Insecure Plug-ins. La versió 3.5.3 i 3.0.14, recentment publicades, van començant alertant si la versió de l'Adobe Flash no era segura. Això, en properes versions, s'ampliarà a d'altres extensions.