18
julio
2008

¿Actualizaciones de Thunderbird?

[Herramientas] 
Para un usuario de este cliente de correo, estar al día en cuestión de seguridad puede llegar a resultar frustrante. La fundación Mozilla retrasa demasiado la publicación de versiones oficiales que corrigen los mismos fallos compartidos con su producto estrella, el navegador Firefox.


La fundación Mozilla ya avisó de que concentraría todos sus esfuerzos en el navegador Firefox, dejando un poco de lado a su hermano Thunderbird... el problema es que no se han relajado sólo en el desarrollo, sino también en cuestión de seguridad. Ambos programas comparten gran parte del código necesario para procesar y mostrar páginas web, por lo que los fallos de seguridad de uno, afectan de forma directa al otro. Si es posible ejecutar código al visitar una página con Firefox, es muy probable que también se pueda ejecutar código al visualizar un correo HTML en Thunderbird.


Hace algunos meses, una actualización de seguridad del navegador conllevaba una actualización paralela del cliente de correo. Con el tiempo, la publicación de nuevas versiones que solucionaban problemas de seguridad en Firefox no se traducía inmediatamente en actualizaciones para Thunderbird... hasta que el cliente de correo se ha quedado 'oficialmente' dos versiones atrasado con respecto a Firefox.


En la página oficial de descarga de Thunderbird, aparece sin pudor la versión 2.0.0.14 como última disponible, mientras que Firefox ya muestra la versión 3.0.0.1 para descarga directa, y la 2.0.0.16 en su rama anterior. Si se buscan actualizaciones desde el propio Thunderbird, responderá que se está a la última (a no ser que se haya configurado expresamente para actualizar con las betas), cuando en realidad la versión 2.0.0.14 tiene más de tres meses y al menos 5 problemas de seguridad conocidos sin parchear.


Muchos usuarios pensarán que su último Thunderbird descargado desde la página oficial es seguro, pero no es así. Para los que sean conscientes de este desfase de versiones y quieran de verdad usar de forma segura este cliente (con ciertas limitaciones en algunos aspectos, pero muy bueno en general) con los últimos parches, hay que o bien deshabilitar JavaScript (fuente de muchas de las vulnerabilidades) o bien descargar versiones candidatas desde el FTP oficial de Mozilla.


http://ftp.mozilla.org/pub/mozilla.org/thunderbird/nightly/


asumiendo el 'riesgo' de que son versiones candidatas o betas.


Por último, llama la atención la confusión lingüística que se observa últimamente entre clientes de correo o navegadores calificados como 'seguros'. Puede ser 'seguro' por incluir funcionalidades que protegen al usuario contra el phishing por ejemplo. Pero puede ser 'seguro' porque sufre de pocos problemas de seguridad, son corregidos a tiempo, o está programado con la seguridad en mente... últimamente se manejan ambos términos indistintamente según convenga al interesado, cuando realmente tienen poco que ver.

Enviado por De Los Santos a las 12:25 | Enlace permanente | Comentarios (3) | Trackbacks (0)
Comentarios
Re: ¿Actualizaciones de Thunderbird?

Pues si los de Mozilla publican los detalles de las vulnerabilidades, pero luego no las parchean, entonces sus usuarios estamos más expuestos que los que usan otros productos similares de Microsoft. :(

que les parece ésto a los seguidores del SW libre???

Posted by: Pableras at julio 18,2008 14:13
Re: ¿Actualizaciones de Thunderbird?

usa software libre que es mas seguro.
¿Por que puedes ver el fuente?
Hay desensambladores para windows eh.

Luego petan debian pq alguien se tira dos meses en la playa o donde sea.
Y el windowsupdate ahi funcionando perfectamente :P

Ni que hablar de IE7 en modo protegido en un Vista x64 con aslr, dep(nx),etc ... y ahi viene IE8 con MAS:

http://blogs.msdn.com/ie/archive/2008/07/02/ie8-security-part-v-comprehensive-protection.aspx

Ni tanto ni tan poco, vale. Pero es que la coletilla esa de software libre, abierto mas seguro mas ... a mirarse las estadisticas.

¿Y sabes que pone en la pagina de Firefox bien grande?
http://www.mozilla-europe.org/es/firefox/#feature-security

El navegador web más seguro

http://secunia.com/product/19089/?task=statistics

Eso digo yo, ¿mas seguro en que? en que sacan versiones a publico con fallos de seguridad conocidos porque hay tantos que no dan parcheado?

En fin.

Posted by: Juan at julio 18,2008 22:52
Re: ¿Actualizaciones de Thunderbird?

" Y, gracias a nuestros procesos de código abierto tenemos a miles de expertos en seguridad de todo el mundo trabajando contra-reloj para mantenerte a salvo a ti y a tu información personal."

Miles, o cientos de miles... si lo que sobran son expertos en seguridad jajaja. Y ahi estan 8 horas al dia 7 dias a la semana trabajando contra reloj al salir de su trabajo si.

Posted by: Juan at julio 18,2008 22:54
Trackbacks
Por favor envía los trackbacks a: http://blog.hispasec.nospam/laboratorio/297/tbZ3ping
Reemplazando "nospam" por "com"
No hay trackbacks.
Enviar un comentario