Los investigadores de seguridad que realizaron un análisis del código fuente del popular navegador Open Source, Firefox, usando las herramientas automatizadas, han descubierto potenciales defectos y vulnerabilidades de seguridad a pesar de llegar a la conclusión que el software está, en términos generales, bien escrito.

Un desarrollador de Mozilla ha criticado la metodología del análisis y dijo que proporciona poca ayuda para corregir los bugs de seguridad.

Varias versiones del software fueron revisadas por pasos por Adam Harrsion de Klocwork usando la herramienta de análisis de K7 de Klocwork. El análisis, que culminó en una revisión al Firefox versión 1.5.0.6 se descubrieron 611 fallas, 71 de las cuáles son potenciales vulnerabilidades de seguridad.

Una gran cantidad de estas vulnerabilidades resultaron se debieron a que el código no comprobaba las localidades de memoria. El manejo de la memoria cuenta con la mayor cantidad de fallas (141 vulnerabilidades). La falla para verificar la ruta de ejecución del código también obtuvo varios errores potenciales.

Los desarrolladores de Firefox han enviado los resultados del análisis, que Harrison concede es preliminar. “Solamente alguien con un conocimiento a fondo sobre el código de Firefox podría juzgar el peligro de una vulnerabilidad de seguridad,”.

Es confuso cuántos, si los hay, de los potenciales bugs identificados por la herramienta de Klocwork son explotables.

Ni Microsoft ni Opera han lanzado el código propietario de sus navegadores para un análisis similar, así que no puede haber comparaciones.

Alec Fleet, desarrollador del Proyecto Mozilla, dijo que las herramientas para el análisis del código tienen cierta ventaja, solamente criticó las conclusiones de Klocwork como incompletas y potencialmente engañosas.

“Publicar que hay 611 fallas es incorrecto. Con la mayoría de estas herramientas la relación señal/interferencia es muy alto”.

Harrison defendió la calidad de su análisis contra estas críticas. “Aunque este análisis fue automatizado, el nivel del análisis es sofisticado. En este análisis en particular revisamos los resultados completamente para verificar la corrección de las fallas… [pero] como con cualquier análisis solamente los desarrolladores pueden ser el juez final en la severidad de estos problemas,” dijo.

Este análisis fue hecho a un navegador Open Source y se han descubierto decenas de bugs, sin embargo, falta que sea ratificado por firmas reconocidas como Security Focus.

Pensemos, ¿cuántas vulnerabilidades tendrá el Internet Explorer?, ¿por qué Microsoft no libera el código fuente de su navegador para que se le realice un análisis similar?