Actualizaciones críticas para los navegadores más populares... en especial para Internet Explorer


Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario. Finalmente emitirá hoy una actualización de emergencia para solucionar el fallo. Además Firefox, Safari y Opera, los otros navegadores más populares, han actualizado también en los últimos días para solucionar graves problemas de seguridad.





Los problemas de seguridad en todos los navegadores son una constante. Desde que se tomara consciencia general de la seguridad en remoto del sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo (con clientes más seguro por defecto y filtros perimetrales), los asaltos se han desviado a los navegadores. Este es el vector de ataque por excelencia hoy en día para el malware: el usuario visita una página y se intenta explotar una vulnerabilidad del navegador para instalar algún código. Y no sólo al visitar webs de dudosa reputación: muchas páginas legítimas (gracias a problemas de seguridad de sus servidores) están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.

Se recomienda que actualice su navegador a la última versión disponible.

El peor escenario es para Internet Explorer

Así las cosas, un problema de seguridad en un navegador, sea cual sea, supone un importante riesgo. Para Microsoft el asunto se ha complicado en las últimas semanas, por muchas razones. Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad (en principio en Internet Explorer 7, luego se comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.

Internet Explorer es el navegador favorito de los atacantes por su cuota de mercado, lo que permite a los atacantes llegar a un mayor número de víctimas. Para complicar el tema, el exploit se hizo público rápidamente, junto con todos los detalles técnicos del fallo. El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17, publicará un parche para solucionar el fallo.

Semana de actualización para otros navegadores

Pero Internet Explorer no es el único navegador que necesita ser actualizado en estos días. Parece que todos se han puesto de acuerdo para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa en 8 boletines de seguridad.

Opera, por su parte, acaba de publicar también su versión 9.63, que corrige siete problemas de seguridad (uno de ellos, leve, descubierto por Matthew de Hispasec Sistemas).

Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

Existe una prueba de concepto pública para uno de los problemas de Firefox, aunque al menos para estos navegadores, no se tiene evidencia de que los fallos estén siendo aprovechados activamente. Esto no exime de una inmediata actualización.

Más Información:

Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx

Opera 9.63 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/963/

Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

About the security content of Security Update 2008-008 / Mac OS X v10.5.6
http://support.apple.com/kb/HT3338

Fuente:
Sergio de los Santos
http://www.hispasec.com



Otras noticias de interés:

Descubiertos varios fallos de seguridad en Iberia.com
El sistema de reservas a través de Internet de la compañía aérea Iberia, sufre graves fallos de seguridad que pueden poner en peligro los datos personales de los usuarios que realicen este tipo de operaciones utilizando la página corporativa www...
I Seminario de Tecnología Libre Sucre 2012
Evento a realizarse el proximo 20 de Octubre del presente año en la Biblioteca de la Universidad Politécnica de Paria (UPTP) Carúpano....
Microsoft gana apelación sobre Java
Una corte de apelaciones estadounidense revocó el jueves una decisión que habría obligado a Microsoft Corp. incorporar el lenguaje de programación Java, de Sun Microsystems Inc. , en el sistema operativo Windows. ...
Parche para MS Visual FoxPro 6.0
Microsoft distribuye un parche para corregir una vulnerabilidad que permitía lanzar de forma remota y automática, a través de una página web o mensaje de correo HTML, una aplicación Visual FoxPro sin consultar al usuario....
Fallo en PDF permite alterar las firmas de documentos
Una reciente investigación ha demostrado la posibilidad de que puedan alterarse las firmas digitales de los archivos PDF....
EEUU quiere aumentar sus #ciberdefensas
El Pentagono considera necesario aumentar las ciberdefensas de Estados Unidos para que el país esté preparado para “la guerra moderna”. El objetivo sería mejorar la seguridad de los sistemas y contar con herramientas cibernéticas para atacar ...
La seguridad por oscuridad nunca es recomendada.
Los creadores de malware muchas veces utilizan javascript para infectar nuestras máquinas, y aplican técnicas de ofuscación para tratar de no ser detectados y evitar o dificultar el análisis....
Aberrante Ley de restricción de Internet en Venezuela
El día de ayer la golpeada, manchada y nada imparcial Asamblea Nacional de Venezuela aprobó la Ley de Responsabilidad Social en Radio, Televisión y Medios Electrónicos, que se conoce como Ley Resorte, que añade al presidente controlar aún má...
Rootkit del sector de arranque, más ruido que peligro
Se han publicado en las últimas semanas, múltiples informes y noticias acerca de un rootkit que es capaz de cargarse desde el MBR (Master Boot Record) del disco duro, cada vez que se reinicia la máquina. ...
Por SQL Injection hackeada Kaspersky
Un agujero de seguridad en los servidores de casos de Kaspersky, uno de los más famosos desarrolladores de este tipo de software en el mundo, parece haber dejado en evidencia las barreras implementadas por este fabricante, y de hecho puesto en pelig...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • actualizaciones
  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • criticas
  • debian
  • especial
  • exploits
  • explorer
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • navegadores
  • noticia
  • opensource
  • pgp
  • php
  • populares
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra