SpeedyFox mejora el rendimiento de Firefox

SpeedyFoxPor más buen navegador que sea Firefox, todos sabemos que el rendimiento no es uno de sus puntos fuertes, y que con el paso del tiempo va tardando más en iniciarse, se cuelga con más frecuencia, responde más lento, etc. Para solucionar eso ahora contamos con SpeedyFox, que hará que el navegador de Mozilla vuelva a funcionar como si estuviera recién instalado.

Lo que hace SpeedyFox es solucionar el problema de fragmentación de las bases de datos de Firefox, compactando los archivos .sqlite correspondientes. Reconoce automáticamente el perfil que usamos por defecto, pero también se puede compactar el resto de los perfiles. Evidentemente, para llevar a cabo la compactación debemos cerrar el navegador.

Después de probarlo he podido comprobar que el rendimiento de Firefox sí mejora considerablemente después de usar SpeedyFox. Sobre todo el tiempo de arranque, que según los desarrolladores puede reducirse hasta en un 66%. También hace que la navegación por el historial y la gestión de cookies sean más rápidas.

SpeedyFox funciona solo en Windows, pero sus creadores prometen lanzar sendas versiones para Firefox para Mac y Firefox Portable.

Vía | LifeRocks 2.0
Enlace | SpeedyFox

Read More

Mozilla publica parche oficial para la vulnerabilidad en Firefox 3.5

Mozilla ha publicado ya oficialmente la versión 3.5.1 que corrige el fallo en JIT que permitía la ejecución de código. El exploit fue publicado por sorpresa, cuando el equipo de desarrollo todavía no disponía de una versión corregida que ofrecer a los usuarios. Pensaban publicar la actualización a finales de julio, pero han acelerado convenientemente el proceso para emitir la nueva versión lo antes posible.

¿Pero no existía parche ya?

A raíz de la cantidad de comentarios recibidos en nuestros buzones, sobre la información publicada en la una-al-día “Ejecución de código en Mozilla Firefox. No existe parche oficial disponible”, creemos necesario aclarar ciertos puntos y actualizar la información existente.

El comentario más repetido es que “sí” existía parche en el momento de la publicación de la noticia. Queremos aclarar y ratificarnos en que no existía, hasta este momento, parche oficial disponible, aclarando correctamente lo que es un parche oficial. Entendemos como “parche oficial”, un método de actualización que no exija “recompilación” del software, ofrecido por el fabricante, y que haya pasado unos mínimos controles para comprobar que no introduce nuevos errores. El mismo blog de seguridad oficial de Mozilla (http://blog.mozilla.com/security/),

escribía:

Status: “Mozilla developers are working on a fix for this issue and a Firefox security update will be sent out as soon as the fix is completed and tested.”

Estaban trabajando en una solución. En cuanto han creído que el parche es correcto, no abre nuevos fallos y está concienzudamente comprobado, han subido a la página oficial la versión 3.5.1 para que todo el mundo pueda descargarla. La política de Firefox en este sentido es crear nuevas versiones con la solución integrada. Desde el día 13 (cuando ya se conocía el fallo) y hasta ahora, solo estaba disponible para descarga oficial la versión 3.5, vulnerable. No había parche oficial comprobado, si no, obviamente Mozilla lo habría subido como descarga pública oficial.

¿Qué tenían entonces antes de la versión 3.5.1?

Tenían la localización del problema, y un planteamiento de modificación del código para solucionar el fallo (que probablemente fuese el definitivo), en forma de archivo .diff o precompilaciones diarias inestables o versiones de desarrollo. Pero eso no es un parche oficial.

Cuando existe un fallo de seguridad, y más cuando se tiene delante un exploit, la parte más “sencilla” es localizar la línea que origina el problema y programar una solución. Esto es prácticamente inmediato sea software libre o no. Lo complicado es integrar esto en una versión oficial que sea compilada y distribuida públicamente, asegurándose de que no introduce regresiones, problemas de estabilidad y que de verdad soluciona todos los vectores por los que la vulnerabilidad puede ser aprovechada. Solo este último punto puede llevar semanas. Si no se respeta este paso, se corre el riesgo de emitir constantes versiones con regresiones (un problema más común de lo que parece) e introducir inestabilidades.

En un entorno no profesional, casero, es viable aplicar un parche en forma de archivo .diff, compilar extraoficialmente y asumir los problemas potenciales que esto puede acarrear. Pero en entornos profesionales, con decenas o cientos de máquinas que administrar, no es tan sencillo. Todo debe seguir funcionando, y nadie que se tome en serio su negocio usaría versiones no estables, en desarrollo o compilaciones diarias en entornos de producción más o menos críticos. En entornos más exigentes, incluso no aplican nunca los parches oficiales nada más son publicados, sino que son todavía más cautelosos y esperan a comprobar que no introducen nuevos problemas.

También cabe recodar, que deshabilitar el origen del problema no es “solucionar” la vulnerabilidad.

Con respecto a la vulnerabilidad, aclaramos que el fallo se encuentra en en el compilador Just-in-time (JIT). La rama 3.0.x no se ve afectada.

Fuente:Noticias Hispasec

Read More

Ejecución de código en Mozilla Firefox. No existe parche oficial disponible

Ofrecemos este boletín con carácter de urgencia. Se ha publicado un exploit para Mozila Firefox 3.5 que permite la ejecución de código si un usuario visita una página web especialmente manipulada. No existe parche oficial disponible.

Un tal Simon Berry-Byrne ha descubierto un problema de seguridad en Firefox que podría ser aprovechado por atacantes para ejecutar código arbitrario con los privilegios bajo los que se ejecuta el navegador.

Existe exploit público disponible, con lo que es posible que los atacantes comiencen, en breve, a explotar el fallo para la instalación de malware, y “aprovechar” así la creciente cuota de mercado de usuarios de Firefox.

El exploit ha sido publicado sin previo aviso, con todo lujo de detalles y listo para ser usado en entornos Windows. Aunque no es necesario una excesiva modificación para que pueda ejecutarse código en cualquier otra plataforma. El fallo en concreto se da en (cómo no) el procesador de código JavaScript del navegador a la hora de manejar ciertas etiquetas (“font”, entre ellas) HTML.

No se tiene constancia de que los atacantes estén aprovechando este fallo, por lo que no se podría hablar estrictamente de “0 day”, aunque a partir de ahora el problema es grave, puesto que el código para su explotación es público.

Se recomienda desactivar JavaScript en Firefox o el uso de navegadores alternativos (no Internet Explorer puesto que en estos momentos también sufre de varios problemas de seguridad no resueltos).

Fuente:Noticias Hispasec

Read More

Información, guías y recursos para geeks Lo que viene: Firefox 3.6

Hace pocos días Mozilla lanzó la versión 3.5 del ampliamente difundido Firefox. Y sin tomar descanso, el equipo de desarrolladores de Mozilla ya se encuentra trabajando en la próxima gran versión del navegador: Firefox 3.6.

Con fecha de salida hacia mediados de 2010, Firefox 3.6 promete un salto importante en cuanto a mejoras sobre la generación actual. Conocido cono Firefox.next, o por su nombre Namoroka, el renovado navegador traerá una gran cantidad de cambios que les presentamos a continuación.

firefox-logo

Probablemente el cambio que más se destaque será un incremento dramático en el desempeño del navegador. La idea es que Firefox.next presente un incremento en la velocidad visible por el usuario. Como por ejemplo, aumentar el tiempo de inicio, el tiempo que lleva abrir una nueva pestaña, páginas favoritas, etc. Otro cambio en línea es la inclusión de más opciones de personalización del navegador. La prioridad es generar una framework de bajo peso, que permita cambiar la apariencia del programa sin la necesidad de reiniciarlo.

Una innovación interesante serían las nuevas opciones de navegación. El punto central son las pestañas y la organización de las mismas de acuerdo a las tareas que el usuario realize. Poder buscar entre las pestañas, organizarlas por fecha, etiqueta, serían algunas de las posibilidades. Otro cambio que podría aparecer en este sentido, es la posibilidad de crear, salvar y restaurar grupos de pestañas.

Otro punto de gran importancia es un soporte para aplicaciones web. En este sentido, es probable que Firefox.next esté fuertemente ligado al proyecto Prism: las páginas web serán tratadas como aplicaciones de escritorio.

Entre las demás funciones que se esperan figura el Taskfox. La idea detrás de este proyecto es la de generar una mayor ubicuidad con Firefox. En otras palabras, poder usar el navegador en cualquier lugar sin notar ningún cambio. Otra caracterìstica que tiene ciertas probabilidades de implementarse es un mejor manejo de las sesiones. Guardar sesiones en grupos, elegir cuales pestanñas se quieren abrir más tarde, etc.

Por último, entre otras inclusiones, se menciona un navegador más personalizado (con una página about:me con estadísticas); administrador de identidad de usuario; y probablemente una nueva pestaña al estilo Google Chrome.

Fuente:Grupo Geek

Read More

Firefox 3.5, listo para descargar

ff35.jpg

Varios meses de intenso desarrollo han tenido que pasar para que salga a la luz esta versión, pero por fin está disponible Firefox 3.5, una actualización que trae consigo numerosas mejoras de rendimiento y estabilidad, así como mayor compatibilidad con diversas tecnologías web como HTML 5, CSS y Javascript.

Además de las mejoras, Firefox 3.5 incorpora algunas cuantas novedades como navegación privada, una característica de privacidad bien conocida en Safari, Google Chrome e incluso Internet Explorer 8, y que nos permite navegar de modo que Firefox no registre las páginas visitadas, cookies, formularios, descargas, y otros archivos que puedan revelar nuestro historial de navegación.

Firefox 3.5 está disponible en más de 70 idiomas y se puede descargar para Windows, Mac OS X y Linux. Si ya eres usuarios de Firefox, puedes actualizar de forma automática desde el menú Ayuda – Buscar Actualización, si no, ahora es el mejor momento para descargar este navegador en su sitio web oficial.

Enlace | Firefox 3.5

Fuente:Open Security

Read More

Firefox 3.5 promete un cambio radical

Hace un año, el mundo vio como el lanzamiento de la versión 3.0 de Firefox logró un record histórico de descargas en sólo un día gracias a una campaña que buscó comprometer a los internautas de todo el mundo. Hoy quieren volver a hacer historia y está vez no buscan un récord, sino que posicionar un navegador que, en palabras de la gente de Mozilla, “Es un producto completamente nuevo.”

Con cinco mil mejoras a cuestas, Firefox 3.5 tuvo durante los últimos meses sucesivos lanzamientos de betas, las que estuvieron al alcance de quien quisiera probarlas, y hoy, con la primer Release Candidate disponible, la tentación por probarla puede ser satisfecha gracias a la estabilidad del navegador.

firefox3.5

Disponible ya en 70 lenguajes, se instala sobre la versión anterior de Firefox conservando historial, marcadores, información, extensiones, aunque en el caso de las últimas encontramos ciertas incompatibilidades, pero que son fácilmente reemplazables con agregados similares.

Entre las cinco mil mejoras que la gente de Mozilla anunció, se destacan un motor para ejecutar con mayor rapidez el contenido javascript, la posibilidad de guardar información en el disco duro para poder seguir trabajando en servicios como Google Docs una vez desconectados, el tan discutido y esperado modo de navegación privada, etc.

Uno de sus puntos más altos es el trabajo con el nuevo estándar HTML 5.0, lo que entre otras cosas permitirá ver vídeos online sin la necesidad de instalar plugins, algo importante en momento donde la multimedia está presente en casi todas las webs que visitamos.

Mayores facilidades para la personalización y manipulación del aspecto del browser, no sólo van con los ya existentes temas, sino que también con un control sobre las fuentes utilizadas por los sitios. También hay  novedades con respecto a la información sobre la ubicación geográfica tanto del usuario como de los sitios (eso sí, el usuario podrá desactivarlo como forma de proteger su privacidad) hacen de Firefox 3.5 un navegador que logrará sacarle una tajada aún mayor a la torta que antes Explorer se comía casi en solitario.

Fuente:Grupo Geek

Read More

Nueve boletines de seguridad para Firefox 3.0.11

Mes y medio después de corregir nueve vulnerabilidades con la última

3.0.9 (la versión 3.0.10 corregía sólo un fallo), Mozilla lanza la nueva versión 3.0.11 de su navegador Firefox que soluciona otros once fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona once vulnerabilidades aglutinadas en nueve boletines. Cuatro de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y dos de carácter bajo.

Específicamente, cada boletín, ordenados por gravedad:

Críticas:

* MFSA 2009-32 (CVE-2009-1841): Ejecución de código con privilegios de Chrome mediante JavaScript. Por un error en nsSidebar.prototype.getInterfaces que permite crear objetos en este contexto.

* MFSA 2009-29 (CVE-2009-1838): Ejecución de código JavaScript en el contexto de Chrome. Esto ocurre si tras una recolección de basura el usuario es nulo.

* MFSA 2009-28 (CVE-2009-1837): Posible ejecución de código mediante el uso de un applet de Java. Un error en xul.dll permite un acceso indebido a NPObject JS wrapper antes de la carga del applet permitiría la inyección de código arbitrario.

* MFSA 2009-24 (CVE-2009-1833, CVE-2009-1392, CVE-2009-1832): Varios errores de la base de Mozilla crean varios desbordamientos de memoria intermedia que podrían ser usadas para ejecutar código.

Altas:

* MFSA 2009-27 (CVE-2009-1836): Un error en el procesado de las respuestas que no son 200 durante el ‘connect’, cuando se está usando un proxy, puede permitir que un atacante remoto modifique el contenido de la respuesta incluso en una conexión SSL.

Moderadas:

MFSA 2009-30 (CVE-2009-1839): Salto de restricciones de lectura local mediante el uso de iframe que salta las restricciones de acceso hacia atrás, es decir, desde /a/b/index.htm podríamos ver /a/index.htm

MFSA 2009-26 (CVE-2009-1835): Salto de restricciones de lectura local de cookies de cualquier dominio mediante el uso de file://. Por ejemplo en file://example.com/C:/foo.html leeríamos foo.html local pero con los datos en el dominio de example.com

Bajas:

MFSA 2009-31 (CVE-2009-1840): Salto de la comprobación de las políticas a través de ficheros XUL script.

MFSA 2009-25 (CVE-2009-1834): Suplantación de la URL en MacOS X al no tratar correctamente los caracteres unicode, de este modo una URL especialmente modificada podría hacerse pasar por otra.

La mayoría de estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.

Fuente:Noticias Hispasec

Read More

Disponible Firefox 3.5 Release Candidate 1

Firefox 3.5 RC1

Aunque el desarrollo de la versión final se ha ido retrasando un poco en las últimas semanas, ya tenemos entre nosotros la primera versión candidata de Firefox 3.5, disponible para ser descargada para cualquier plataforma y en más de 70 idiomas. El nombrarla Release Candidate 1 hace pensar que habrá una segunda RC próximamente, antes del lanzamiento de la versión final, el cual ya se espera con muchísima ansia por parte de los usuarios del genial navegador de código abierto.

En esta versión candidata se ha mejorado el sistema de navegación privada y se ha continuado mejorando tanto la estabilidad como el rendimiento del motor Javascript Tracemonkey. Se incluye soporte para transformaciones de gráficos vectoriales SVG, geolocalización, fuentes descargables y mejoras en el soporte de las últimas propiedades CSS y HTML5, incluyendo la capacidad para reproducción de audio y video sin tener el plugin de Flash instalado en el sistema.

Por supuesto Firefox 3.5 RC1 es una versión en pleno desarrollo y no se recomienda su instalación en entornos que requieran estabilidad. Los usuarios que ya estén usando versiones beta anteriores pueden actualizar automáticamente desde el menú de ayuda del navegador.

Fuente:Gen Beta

Read More

Firefox 3 supera a Internet Explorer 7

firefox-vs-internet-explorer

En los últimos tiempos. se confirma una tendencia que viene pisando firme: Firefox crece mientras el Internet Explorer pierde usuarios. En general, el IE se mantiene como el navegador más usado. Pero a pesar de esto, su cuota de mercado se encuentra en un 66.28 %, el nivel más bajo en una década. Por otro lado, Firefox llegó a obtener un 22.05 %, la cifra más alta en su historia. En el último mes, el IE bajó un 0.62 porciento, y Firefox aumentó 0.28 puntos porcentuales. Estas cifras muestran claramente que la salida del IE8 no detuvo la pérdida de usuarios del navegador de Microsoft.

Al momento de las estadísticas, los informes muestran que el IE6 es principalmente usado en compañías y por profesionales. Además, el IE es más popular en los EE.UU. que en el resto del mundo. Además, las cifras muestran que al considerar cada navegador por separado, el Firefox 3 se convirtió en el más popular (35.05 %), seguido por el IE7 (34.54 %).

Según las estimaciones, a este ritmo el Firefox superaría por completo al Internet Explorer en la cuota de mercado recién para el año 2014. Pero para esa fecha, probablemente la industria e Internet se conviertan en algo muy diferente a lo que conocemos ahora.

Fuente:Grupo Geek

Read More

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de
concepto que hace que Firefox deje de responder. No existe parche
disponible y se sabe que la vulnerabilidad, en realidad, permite
ejecución de código. Se trata por tanto, de un 0 day. Al parecer la
fundación Mozilla ya ha programado la solución pero no hará pública
una nueva versión 3.0.8 del navegador hasta principios de la semana
que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo
aviso) los detalles de una vulnerabilidad que permite la ejecución de
código en el navegador con solo interpretar un archivo XML especialmente
manipulado. En principio la prueba de concepto publicada hace que el
navegador deje de responder, pero es posible de forma relativamente
sencilla modificar el exploit para que permita la ejecución de código.
El problema afecta a todas las versiones (actual y anteriores) del
navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como
crítica y urgente, y afirman que ya lo tienen solucionado (en realidad
se trata simplemente de un cambio de orden de una línea de código), pero
que no publicarán Firefox 3.0.8 hasta principios de la semana que viene.
Si el fallo es también reproducible en Thunderbird, es previsible que
haya que esperar incluso más tiempo para que se publique una nueva
versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados
pueden descargar el archivo corregido directamente del repositorio y
recompilar.

Más información:

Exploitable crash in xMozillaXSLTProcessor::

TransformToDoc
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published
http://www.pcworld.com/article/161988/

Fuente:Noticias Hispasec

Read More