Actualizaciones críticas para los navegadores más populares... en especial para Internet Explorer


Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario. Finalmente emitirá hoy una actualización de emergencia para solucionar el fallo. Además Firefox, Safari y Opera, los otros navegadores más populares, han actualizado también en los últimos días para solucionar graves problemas de seguridad.





Los problemas de seguridad en todos los navegadores son una constante. Desde que se tomara consciencia general de la seguridad en remoto del sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo (con clientes más seguro por defecto y filtros perimetrales), los asaltos se han desviado a los navegadores. Este es el vector de ataque por excelencia hoy en día para el malware: el usuario visita una página y se intenta explotar una vulnerabilidad del navegador para instalar algún código. Y no sólo al visitar webs de dudosa reputación: muchas páginas legítimas (gracias a problemas de seguridad de sus servidores) están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.

Se recomienda que actualice su navegador a la última versión disponible.

El peor escenario es para Internet Explorer

Así las cosas, un problema de seguridad en un navegador, sea cual sea, supone un importante riesgo. Para Microsoft el asunto se ha complicado en las últimas semanas, por muchas razones. Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad (en principio en Internet Explorer 7, luego se comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.

Internet Explorer es el navegador favorito de los atacantes por su cuota de mercado, lo que permite a los atacantes llegar a un mayor número de víctimas. Para complicar el tema, el exploit se hizo público rápidamente, junto con todos los detalles técnicos del fallo. El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17, publicará un parche para solucionar el fallo.

Semana de actualización para otros navegadores

Pero Internet Explorer no es el único navegador que necesita ser actualizado en estos días. Parece que todos se han puesto de acuerdo para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa en 8 boletines de seguridad.

Opera, por su parte, acaba de publicar también su versión 9.63, que corrige siete problemas de seguridad (uno de ellos, leve, descubierto por Matthew de Hispasec Sistemas).

Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

Existe una prueba de concepto pública para uno de los problemas de Firefox, aunque al menos para estos navegadores, no se tiene evidencia de que los fallos estén siendo aprovechados activamente. Esto no exime de una inmediata actualización.

Más Información:

Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx

Opera 9.63 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/963/

Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

About the security content of Security Update 2008-008 / Mac OS X v10.5.6
http://support.apple.com/kb/HT3338

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Hackeado el sistema de seguridad de iTunes
El noruego Jon Lech Johansen, más conocido como DVD Jon por burlar la protección anticopia de las películas en ese formato, ha reincidido en su ataque al sistema de descarga de música en línea iTunes, según el periódico digital IT-Avisen....
¿Compañías de Hosting VICTIMAS de ataques DoS?
Según informe presentado por Netcraft, dos empresas importante de hosting y alquiler/venta de servidores dedicados fueron victimas de ataques DoS el día martes pasado. ...
Cómo saltarse el detector de billetes de Photoshop ?.
Tras reconocer públicamente Adobe que la nueva versión de su programa incorpora un protector de billetes, ya se conocen varias formas de saltarse el polémico detector. ...
Piratas informáticos centrarán sus objetivos en los smartphone, Foursquare y acortadores de URLs
Los principales objetivos de las amenazas informáticas emergentes en 2011 serán sobre todo en los productos de Apple, los servicios de geolocalización como Foursquare y los dispositivos móviles, entre otros, según ha dicho McAfee en su informe:P...
Podcast de Eset Latinoamérica referente a BlackHat SEO
Federico Pacheco, habla de que trata este tipo de artilugio que día a día usan diferentes personas maliciosas para posicionar ciertos sitios web en las primeras posiciones en los buscadores, usualmente para distribuir malware....
Microsoft acaba con una red de bots
Microsoft anunció que ha desarticulado la botnet Kelihos y que ha cerrado los subdominios cz.cc....
Vulnerabilidad de divulgación de código fuente en Lotus Domino
Secunia ha anunciado la existencia de un problema de seguridad en el servidor Lotus Domino que, debido a sus posibles consecuencias, puede calificarse como grave....
La cloud computing tendrá un efecto positivo en el empleo
El impacto de la cloud computing podría ir más allá del simple cambio de ubicación de datos, y convertirse en un revulsivo para la economía en general y la creación de empleo en particular. Un estudio del Foro Económico Mundial (WEF) sobre la ...
Fabricante de máquinas de voto electrónico reconoce ahora un error crítico presente desde hace diez años
La antigua Diebold (ahora reconvertida a Premier Election Solutions) acaba de reconocer un error crítico de programación en su sistema de voto electrónico, utilizado actualmente en 34 estados de EE.UU....
Adiós al MS-Windows XP
El todavía popular sistema operativo tiene los días contados y una fecha cierta para desaparecer, según anunció Microsoft...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizaciones
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • criticas
  • debian
  • especial
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • navegadores
  • noticia
  • opensource
  • pgp
  • php
  • populares
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra