Mozilla restó importancia a la amenaza de la primera vulnerabilidad reportada para Firefox 3.0, diciendo que el riesgo a los usuarios es "mínimo."

"No hay explotación de la vulnerabilidad, los detalles son privados, así que el riesgo a los usuarios es mínimo," Window Snyder, el jefe oficial de seguridad de Mozilla dijo en una entrada del blog de la compañía.

De acuerdo a la compañía de seguridad que informó sobre la vulnerabilidad a Mozilla, el bug está presente en las versiones de Firefox para Windows, Mac OS X y Linux.

Snyder estaba respondiendo a noticias del miércoles que decían que TippingPoint de 3Com, un vendedor de seguridad que corre el programa de recompensas Zero Day Initiative, había comprado una vulnerabilidad crítica en Firefox 3.0 de un investigador anónimo y que después había enviado esta información a Mozilla.

De acuerdo a su política, TippingPoint dijo que no publicaría los detalles del bug sino hasta que Mozilla hubiera publicado un parche. El miércoles dijo, sin embargo, que la vulnerabilidad permitiría a los hackers ejecutar código remoto- haciendo de este bug una falla crítica- y que requeriría alguna acción por parte de la víctima potencia, como dar click en un link en un correo electrónico o visitar algún sitio malicioso.

El miércoles, TippingPoint parecía tener confianza de que Mozilla arreglaría rápidamente la falla. "Trabajando con Mozilla en problemas de seguridad anteriores, hemos encontrado que tienen un buen historial y que esperamos que se resuelva en un tiempo razonable esto también," TippingPoint hizo notar en una entrada en su propio blog.

Aunque Mozilla no dio información adicional ni ofreció recomendaciones para los usuarios, Forslof de TippingPoint dijo algunos consejos. "Esto está en la misma línea que muchas otras vulnerabilidades en los navegadores, por lo tanto los consejos van por la misma línea también. No hacer click en links en correos electrónicos, asegurar de que su sistema operativo esté actualizado, y no visitar sitios inseguros."

Forslog añadió que el investigador, que decidió mantener anónimo, es alguien con quien TippingPoint ha trabajado antes. "Es un contribuyente regular en el programa," dijo.

De acuerdo a TippingPoint y a Mozilla, la vulnerabilidad estaba en la serie anterior de Firefox 2.0 y en el nuevo Firefox 3.0 que fue publicado el martes.


Fuente: MacWorld