Thunderbird y sus no-actualizaciones

Hoy leo en el blog de Hispasec algo que se me había pasado por alto: la fundación Mozilla, responsable del navegador Firefox, y de otros proyectos como el cliente de correo Thunderbird, no viene actualizando este último tan frecuentamente como el navegador del zorrito.

Como bien dice Sergio de los Santos: "La fundación Mozilla ya avisó de que concentraría todos sus esfuerzos en el navegador Firefox, dejando un poco de lado a su hermano Thunderbird... el problema es que no se han relajado sólo en el desarrollo, sino también en cuestión de seguridad. Ambos programas comparten gran parte del código necesario para procesar y mostrar páginas web, por lo que los fallos de seguridad de uno, afectan de forma directa al otro. Si es posible ejecutar código al visitar una página con Firefox, es muy probable que también se pueda ejecutar código al visualizar un correo HTML en Thunderbird."

Firefox ya está por la versión 3.01, Thunderbird se ha quedado en la 2.0.0.14, con temas de seguridad no resueltos en su código, y que al ya conocerse porque han sido resueltos en Firefox, son incluso más fáciles de explotar.

Los problemas aquí se dan en que pese a eso, Thunderbird dirá que está actualizado a la última versión, lo cual no quiere decir que sea la más segura.

Las actualizaciones de Firefox de problemas críticos, en muchos casos pueden llegar a afectar a Thunderbird, dado que comparten funciones para el procesamiento de páginas web. Pero si se arreglan en uno y no en el otro, no solo el cliente de correo termina siendo más inseguro, sino que se termina sabiendo exactamente qué se corrigió, lo cuál facilita saber cómo explotarlo.

Si un proyecto de software libre y/o de código abierto deja de actualizarse y mantenerse, uno de sus mayores problemas es éste: los agujeros de seguridad que se pueden dar y que nunca serán resueltos. Ojo, esto también pasa con los software comerciales, la diferencia es lo que termina estando a la vista de todos: el código del programa.

"is"