Portal IDG

Rotina de correções da Mozilla para o Firefox gera questionamento sobre a segurança e vantagem do navegador sobre o IE 7

A Mozilla Foundation revelou, na última semana, correções de algumas falhas sérias de segurança no seu navegador Firefox. Os bugs também afetaram o navegador SeaMonkey e a aplicação de e-mail Thunderbird, o que gerou dúvidas a respeito da segurança e vantagem do navegador sobre o IE 7.

Os bugs podem permitir que um atacante domine o sistema, mas também atitudes menos sérias, como enganar o sistema ou a segurança, podem acontecer, de acordo com a Mozilla.

Enquanto correções de bugs no navegador, mesmo para falhas críticas, se tornaram uma rotina, os últimos alertas mostram o fato de que o Firefox não possui grande vantagem sobre o Internet Explorer da Microsoft como tinha antes.

De acordo com a empresa de segurança Secunia, o Firefox e o IE 7 foram afetados por um número parecido de bugs este ano, apesar do IE ter sido atingido por falhas mais sérias que o Firefox.

Até agora, o Firefox foi afetado por cinco vulnerabilidades e o IE 7 por seis, de acordo com as estatísticas da Secunia.

Quarenta porcento das falhas do Firefox ainda não foram ajustadas, comparadas com 50% do IE 7. Mas apenas 13% dos bugs do Firefox permitiram acesso do sistema, comparados a 43% para o IE 7, que está mais integrado com o Windows.

A Secunia classificou 17% das falhas do IE como “extremamente críticas”, um status que nenhum dos avisos do Firefox conquistou.

Dos avisos do Firefox, 40% foram classificados como “altamente críticos”, sendo o restante menos sério. Junto aos 17% de bugs “extremamente críticos” do IE 7, 33% foram “altamente críticos” e o restante, menos sérios.

Em um comunicado, a Mozilla declarou que as atualizações do Firefox 2.0.0.4 e 1.5.0.12 ajustaram falhas que permitiam acesso remoto ao sistema.

“Algumas destas falhas mostraram evidência de corrupção de memória em algumas circunstâncias, e presumimos que, com esforço suficiente, ao menos algumas destas poderiam ser exploradas para rodar códigos arbitrários”, declarou a empresa.

Um dos bugs envolve o mecanismo JavaScript do Firefox e poderia causar corrupção de memória, além de permitir outras execuções de códigos maliciosos, relatou a Mozilla.

O serviço de e-mail Thunderbird utiliza o mecanismo do navegador Firefox e também é vulnerável - se o JavaScript está desativado por uma falha no Thunderbird, os usuários provavelmente serão afetados.

“Nós desencorajamos os usuários a rodar códigos JavaScript nos e-mails”, declarou a empresa. No aviso, constava ser possível explorar a vulnerabilidade de corrupção de memória através de outros meios, como grandes imagens.

Também foi ajustado um erro no método “addEventListener” que poderia ser explorado para inserir scripts de um site para o outro, e um bug ao lidar com pop-ups XUL que poderia enganar a barra de localização ou outros componentes de interface do navegador.

A Secunia considerou estas falhas “altamente críticas”.

*Matthew Broersma é editor do Techworld em Londres