Firefox 3 aprovecha una opción de seguridad de Internet Explorer


En un movimiento cuando menos curioso, Firefox 3 bajo Windows se aprovecha de una de las mejores (y a la vez más desconocidas) funcionalidades de Internet Explorer: las zonas de seguridad. De hecho, Firefox 3 se aplicará a sí mismo una opción de la configuración de las zonas de seguridad de Internet Explorer, de forma que si no se confía en un dominio para descargar ejecutables en el navegador de Microsoft, Firefox 3 tampoco permitirá la descarga.





Internet Explorer permite clasificar las páginas (los dominios) en distintas zonas. Las zonas son una clasificación lógica que hace el navegador de las distintas páginas que se visitan. A cada zona (que se puede ver como un conjunto de dominios) se le permiten ciertas licencias sobre el sistema, o ejecución de cierto tipo de código del lado del cliente según la zona donde quede adjudicado cada dominio. Esto permite clasificar de forma eficiente las zonas confiables o peligrosas y
ejercer cierto control sobre el sistema según los escenarios a los que nos enfrentemos. Así, se puede limitar la ejecución de ActiveX a un cierto número de páginas confiables, permitirlo en todas menos en una lista conocida, permitir la descarga sólo desde ciertos dominios... Las zonas de Internet Explorer son una herramienta injustificadamente ignorada en general por los usuarios... pero no por Firefox 3.

Los usuarios de Firefox que hayan configurado sus zonas de Internet Explorer de forma saludablemente paranoica, se encontrarán con que, por ejemplo, no podrán descargar con Firefox 3 ejecutables desde algunas páginas. Firefox emitirá el siguiente error:

This download has been blocked by your Security Zone Policy (Esta descarga ha sido bloqueada por la política de seguridad de las zonas). Y, por mucho que los usuarios busquen la opción que se lo permita en la configuración del propio Firefox, no lo descargará hasta que no se modifique la configuración de las zonas de Internet

En concreto, se vale de una directiva existente en Internet Explorer 7 a la hora de configurar profusamente las zonas de seguridad: "Ejecutar aplicaciones y archivos no seguros". Esta directiva permite elegir si se va a "bloquear", "permitir" o "preguntar" al ejecutar o descargar archivos desde un dominio catalogado en una zona concreta. Por defecto está configurado para "preguntar", pero si un usuario eleva la seguridad de su "zona de Internet" (sitios desconocidos, habitualmente), esta
opción bloqueará por defecto todas las descargas y ejecuciones de archivos de los dominios que no estén en la zona de "sitios de confianza" (una especie de lista blanca). Y ahora no sólo en Internet Explorer, sino también en Firefox 3 bajo Windows.

Este aprovechamiento de funcionalidades ajenas podría ser visto como un movimiento de Mozilla orientado hacia el entorno corporativo. Uno de los argumentos que Microsoft ha esgrimido siempre a favor de su navegador es que Internet Explorer, en un entorno corporativo (con Directorio Activo y numerosos sistemas) es muy configurable por políticas de forma cómoda, pudiendo de un solo golpe de ratón asegurar por ejemplo las zonas en todos los puestos de trabajo. Con este movimiento, aprovechando la configuración de IE, Firefox facilita su aceptación en un entorno corporativo, que sufre de problemas y necesidades mucho más complejas que las del usuario medio. La necesidad de compatibilidad y posibilidad de configuración remota, granular y masiva suele ser lo más valorado por los administradores de grandes sistemas.

Más información:

Reset system Internet security settings - Windows

Firefox 3 Follows IE7's Security Settings

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Vulnerabilidades más importantes de Windows y Unix/Linux
System Administration, Networking, and Security (SANS) ha dado a conocer la lista que recoge las 20 vulnerabilidades más críticas en Internet que afectan a Windows y a Unix/Linux....
Cambio de Huso horario en Venezuela
A partir del día de hoy (09-12-2007) a las 3:00 a.m. comenzará a regir el nuevo huso horario, donde se deberá atrasar 30 min todos los relojes en el territorio nacional....
Microsoft publicará tres actualizaciones de seguridad el próximo martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y otro a su sistema de correo Exchange....
INTECO: Estudio sobre la seguridad de las redes inalámbricas (wifi)
Las redes inalámbricas permiten a los usuarios acceder desde cualquier dispositivo a Internet en tiempo real y sin necesidad de cables, por lo que son las aliadas perfectas de las tecnologías móviles. ...
Feliz año nuevo 2006
El Team Xombra les desea a todos y cada uno de ustedes un muy Feliz Año nuevo, espero que todos sus deseos y anhelos se cumplan, que la tranquilidad y la prosperidad reinen en todos....
Un joven es acusado de estafar a internautas mediante una web falsa de AOL
Un adolescente de 17 años ha sido detenido por utilizar emails ?spam? y una página web falsa de AOL con el fin de engañar a los internautas y sustraerles información sobre tarjetas crédito y robar miles de dólares. ...
Gusano aprovecha servidores mal configurados de JBoss AS
Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados....
Publicado exploit contra la brecha crítica parcheada ayer por Microsoft
Sólo unas horas después de que Microsoft publicara ayer una actualización de seguridad de urgencia para cubrir un fallo crítico en Windows, apareció en la Web código de ataque diseñado para explotar la vulnerabilidad en cuestión....
Reconocimiento facial en tu PC con Lemonscreen
Leyendo en gizmologia.com encuentro este interesante post donde indican que la gente de KeyLemon han lanzado en fase beta una aplicación de esas que pueden ser imprescindibles en cualquier PC, un sistema de reconocimiento facial para olvidarse de ...
Solucionada (4 años después) grave vulnerabilidad Oracle DB
Oracle ha solucionado una grave vulnerabilidad remota (CVE-2012-1675) reportada en 2008 por el investigador y auditor de software Joxean Koret (@matalaz), que afecta a todas las versiones de Oracle Database (desde 8i hasta la versión 11g R2). La vul...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • aprovecha
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opcion
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra