Parcheada una vulnerabilidad que podía filtrar datos personales en Mozilla Firefox

Tal y como nos cuentan los chicos de MC, Mozilla ha vivido uno de los peores fines de semana de su historia. El caso es que a alguien en el equipo de mantenimiento de su popular navegador Firefox, se le debió «olvidar» que la fecha de expiración de uno de sus certificados de seguridad se aproximaba peligrosamente, tanto, que cuando la alarma saltó en su calendario, descubrió que ya era demasiado tarde para actuar.

Un «simple despiste» ha provocado que millones de usuarios de todo el mundo, se hayan encontrado con que muchas de las extensiones con las que añaden funcionalidades a su navegador (que deben ser firmadas digitalmente y recogidas en dicho certificado) hayan dejado de funcionar, e incluso, que resultaba imposible instalar extensiones nuevas desde la tienda de Mozilla o activarlas de forma manual.

Para solucionarlo,  algunos desarrolladores altruistas publicaron en los últimos días algunas extensiones que parecían arreglar de forma parcial el problema. Más tarde, el blog oficial de complementos de Firefox, ofrecía a los afectados seguir un método con el que podrían corregir el error de forma manual.

Sin embargo y al no haberse apaciguado las críticas ante lo que a todas luces ha sido una enorme chapuza, la propia Mozilla decía hace unas horas lanzar una nueva versión de su navegador, en este caso, Firefox 66.0.4, que corrige el error de forma nativa.

Con todo, los usuarios de Firefox no han sido ni los únicos ni probablemente los más perjudicados. Como explican los expertos de Sophos, este dudoso honor corresponde probablemente a los usuarios de TOR. Para entender por qué esto es así, merece la pena recordar que TOR Browser (el navegador que permite navegar a lo largo de la red TOR) es en realidad, un fork de Mozilla Firefox. ¿Y qué es lo que convierte Firefox en el navegador TOR? Como muchos habréis intuido ya, unos cuantos complementos y extensiones.

Así en los últimos días, muchos de los usuarios que hayan querido navegar en la deep web, habrán descubierto cómo unas cuantas alertas de seguridad les han impedido hacerlo. Como en el caso de los usuarios de Firefox, la tranquilidad ha vuelto a los foros de TOR una vez se ha publicado una nueva versión que actualiza el famoso certificado de seguridad y que permite que todo el mundo pueda utilizar sus amadas extensiones.

Lo curioso es que desde un punto de vista de la seguridad informática, lo que ha ocurrido en Mozilla es lo «mejor que podía pasar». No disponer de un certificado como el que ha expirado, o no obligar a los desarrolladores a firmar digitalmente sus extensiones…no bloquear las extensiones no firmadas (por caducar el certificado, etc.) hubiese pasado de representar una enorme molestia para los usuarios a convertirse en un enorme agujero de seguridad, de consecuencias potencialmente catastróficas.

LEAVE A REPLY

Please enter your comment!
Please enter your name here