Voy fatal de tiempo, así que no hay comentarios, sólo los enlaces.

• Respecto a las últimas vulnerabilidades críticas de Internet Explorer, que va para un mes que esperan parche:
  El Gobierno de EEUU advierte contra el uso de IE.
  
• ¿Quién está detrás del spam?
  El spam y la mafia, un asunto serio.
  

Sin esperar al segundo martes del mes, Microsoft publicó el viernes pasado un "parche" para la vulnerabilidad de Internet Explorer que ha causado el publicitado problema con el virus Scob (Download.Ject). Pongo las comillas porque el "parche" en cuestión lo único que hace es cambiar un par de configuraciones en el registro de Windows, un apaño rápido que no soluciona nada en absoluto, pues sólo unas pocas horas después de la publicación del remiendo, ya había un nuevo exploit que evitaba el cambio de configuración, dejando las cosas como estaban.

A punto de cumplirse un mes desde que la vulnerabilidad y la forma de explotarla son de dominio público, Microsoft sigue sin proporcionar una solución adecuada (la única efectiva deja sin soporte ActiveX, VBScript, JScript y Javascript al navegador, recortando su funcionalidad por debajo de niveles aceptables para un uso normal). Y esto, pese a que la gravedad del problema es tal, que por todas partes se alzan voces instando a abandonar el uso de Internet Explorer (ejemplos: Secunia, SecurityFocus, US-CERT, Slate...).

Con todo, no es el único problema que Microsoft tiene que resolver en su navegador, aparte de otros fallos más antiguos que aún esperan parche, se ha descubierto un nuevo agujero de seguridad que afecta a casi todos los navegadores, pero que es especialmente grave en IE debido a su extremadamente frágil diseño. Las últimas versiones de Mozilla y Firefox no están afectadas por ninguna de éstas vulnerabilidades.

Se encontró ayer un fallo de seguridad en Mozilla, Firefox y Thunderbird (en cualquiera de ellos, sólo si están instalados sobre Windows) que permitía ejecutar programas instalados y pasarles parámetros construyendo un enlace shell://. Si se consiguiese explotar un fallo de desbordamiento de buffer en alguno de los programas instalados a través de un enlace de este tipo (y engañando al usuario para que lo pulse) el resultado sería la capacidad de ejecutar cualquier código en la máquina víctima; o más fácil (atención, lo que sigue va medio en broma, medio en serio, debo tener el día tonto) en vez de buscar un desbordamiento de buffer, se podría ejecutar Internet Explorer y pasarle como parámetro una página preparada para que descargara, instalara y ejecutara sin informar al usuario lo que hiciera falta.

Se ha anunciado la próxima salida de Mozilla 1.7.1, Firefox 0.9.2 y Thunderbird 0.7.2 para solventar este fallo. Mientras tanto, se aconseja desactivar el manejo del protocolo shell en cada uno de los productos afectados a los usuarios de alguno de éstos programas en sistemas operativos Windows. Ésto puede hacerse de dos maneras:

• La sencilla: usar el XPI que se ha preparado para hacer los cambios pertinentes pinchando en el enlace siguiente: Instalar Shellblock
  
• La avanzada: usar about:config para crear una nueva entrada de tipo lógico, con nombre network.protocol-handler.external.shell y asignarle el valor false.
  

Por su parte, Opera ya ofrece para descarga la versión 7.52 de su navegador, que soluciona el fallo de seguridad que afectaba a casi todos los navegadores descubierto la semana pasada.

De Microsoft y su Internet Explorer, en cambio, sólo hay malas noticias.

Tanto los desarrolladores de Mozilla como los de Opera han respondido con una rapidez encomiable pero, como siempre, no servirá de nada si los usuarios no responden con igual rapidez.

Voy mal de tiempo y estamos en una de esas temporadas en que parece que todos los días hay noticias relacionadas con la seguridad, lo que se traduce en pocas actualizaciones de esta página y con retraso.

Recopilaré en esta nota todas las novedades desde la última entrada, con la esperanza de ponerme al día y poder volver a comentar las novedades cuando sean noticia (o incluso antes, como ha sucedido en algunas ocasiones). Así pues, vamos con el repaso.

Tras un mes y cinco días, Microsoft por fin ofrece un parche a través de Windows Update para la vulnerabilidad que permitía descargar y ejecutar programas de forma invisible al usuario. Asimismo, también parchea la vulnerabilidad del protocolo shell (han tardado una semana, no está mal, para ser Microsoft), que se descubrió porque podía aprovecharse a través de varios productos de la Fundación Mozilla (se arregló en un día), pero que podía aprovecharse igualmente a través de otros programas de la propia Microsoft, como MS Word (había una ventana de aviso) o MSN Messenger (se ejecutaba directamente). Lamentablemente para los usuarios de Internet Explorer, al mismo tiempo que Microsoft publicaba sus parches, aparecían cuatro nuevas vulnerabilidades en IE (aunque la gravedad de una queda reducida al arreglar lo del protocolo shell, las otras también son consideradas críticas, ya que se puede obligar a Internet Explorer a ejecutar cualquier código con ellas). La recomendación sigue siendo bajar e instalar las actualizaciones de seguridad y no usarlo.

También hay un parche para Outlook Express y otros para distintos fallos en diversas versiones del sistema operativo Windows. Debido a la debilidad de Internet Explorer del que los clientes de correo Outlook dependen, se recomienda el uso de clientes de correo alternativos.

Otro popular cliente de correo, Eudora, también tiene problemas de seguridad graves.

Por su parte, quizá Opera se dió demasiada prisa en lanzar su versión 7.52, porque al día siguiente se hacía pública una vulnerabilidad en su manejo del javascript que puede camuflar la dirección auténtica en la barra de direcciones del navegador, haciendo creer al usuario que está en una página distinta de la que realmente se encuentra. Recordad el consejo de no acceder a sitios que necesiten de conexión segura (bancos, tiendas, cuentas de correo webmail...) a través de enlaces (mucho menos pinchando en enlaces que lleguen a través de correo eléctronico); hay que escribir directamente la dirección en la barra de direcciones.

Los usuarios del popular lector gratuito de archivos PDF Adobe Acrobat Reader deberían actualizar a la mayor brevedad a la última versión (6.0.2) ya que versiones anteriores permiten la ejecución de código arbitrario al visualizar un documento.

Avisan en Secunia de que es posible eliminar temporalmente mediante javascript la interfaz de Firefox y Mozilla (en realidad, esto primero puede hacerse en cualquier navegador, como ya hemos visto) y sustituirla por un archivo XUL (toda la interfaz de Firefox está escrita en XUL).

Al sustituir la barra de direcciones, se puede hacer creer al usuario que está en una página distinta a la que realmente se encuentra, pero lo realmente peligroso es que también se puede sustituir la barra de estado y el icono del candado que indica que estamos en una página segura. Al pulsar el candado para examinar un certificado, la ventana del navegador que se muestra con los detalles del mismo también es falsa, aunque parezca un dialogo de Firefox normal.

Incluso un usuario avanzado podría caer en este engaño, siempre, claro está, que no tenga configurado Firefox (o Mozilla) como recomendaba ya a principios de marzo.

El fallo de seguridad que se comenta en Secunia corresponde al bug 244965 en Bugzilla. Hay una prueba de concepto (solo para Firefox, pero podría hacerse igualmente para Mozilla) disponible para comprobar la vulnerabilidad. Lo cierto es que el efecto usando mi configuración es bastante curioso (y completamente inofensivo).

Se han publicado tres parches para Internet Explorer que corrigen tres vulnerabilidades que la propia Microsoft considera críticas. Y no es extraño, pues dos de los fallos de seguridad que corrigen permiten ejecutar código a traves de simples imágenes (a la vista del usuario, en realidad, archivos malformados intencionadamente), en concreto: GIFs y BMPs. Esto puede ser especialmente peligroso en imágenes que lleguen a través de correo electrónico, si se usa Outlook o Outlook Express, pues el código podría ejecutarse sin más restricciones que los permisos del usuario que maneje el cliente de correo. No me extrañaría que el proximo gusano de gran difusión use uno de estos metodos.

Más detalles y descarga de los parches en el boletín de Microsoft. Resaltar que Microsoft se ha saltado su política de liberar parches sólo el segundo martes de cada mes, lo que indica que les otorgan gravedad extrema y deberían instalarse inmediatamente.

Sin embargo, aún con estos parches instalados, Internet Explorer sigue permitiendo ejecutar código malicioso remotamente, pues las vulnerabilidades críticas que se han hecho públicas este mismo mes siguen sin arreglar. La recomendación de instalar los parches y no usarlo sigue vigente.