Mozilla Firefox es uno de los navegadores más seguros, a la par que sencillos y cómodos de instalar y usar. Pero ambas cosas pueden ser afinadas un poquito más con una configuración avanzada.

Ya he nombrado otras veces que no me gusta que un webmaster tenga la libertad de usar javascript para dejarme sin parte de la interfaz de mi navegador (la barra de direcciones, los menús y botones o las scrollbars, por ejemplo), por no hablar de redimensionar ventanas más allá del espacio disponible en la pantalla o hacer desaparecer la barra de estado. Aparte de lo molestas que resultan estas prácticas (por otro lado, bastante habituales), estos trucos de javascript también pueden usarse con fines maliciosos. En muchos otros sitios, sin embargo, el javascript (usado correctamente) es necesario, así que tampoco es cuestión de prescindir de él completamente por ésto.

Por suerte, Firefox nos permite desactivar todos estos usos molestos del javascript, sin tener que desactivarlo del todo. Para empezar usaremos el menú Herramientas y seleccionaremos Preferencias.



Pulsando el botón Avanzadas ya podemos desactivar unos cuantos trucos molestos con un sólo clic.



Todavía nos queda desactivar el javascript que permite hacer desaparecer partes de la interfaz (o, incluso, hacerla desaparecer por completo, como suele hacerse en los pop-ups). Para ésto escribiremos about:config en la barra de direcciones para acceder a la configuración avanzada y usaremos el filtro dom.disable para quedarnos con las opciones que nos interesan, dejando los valores como puede verse en la imagen siguiente (haz clic para verla ampliada).



Para cambiar los valores, hay que hacer clic derecho sobre cada uno de ellos y seleccionar Modificar, después, escribir true en el recuadro y pulsar Aceptar.

Con ésto, ya está listo, a partir de ahora estamos seguros de tener la interfaz del navegador bajo control en todo momento, mejorando la comodidad de la navegación y la seguridad.

Se trata de sendos desbordamientos de buffer que podrían permitir la ejecución de código al intentar abrir un fichero previamente descargado o recibido por correo electrónico. En Winzip las versiones afectadas van desde la 6.2 a la última beta de la 9.0. En Adobe Reader (antes conocido como Adobe Acrobat Reader) es la versión 5.1 la que es vulnerable.

Los detalles de las vulnerabilidades de uno y otro han sido publicadas por Hispasec.

Las soluciones pasan por actualizar a la última versión en ambos casos. La versión 6.0 del lector gratuito de ficheros PDF Adobe Reader puede conseguirse en su página oficial. Winzip 9.0 final (no la beta, que es vulnerable) puede adquirirse igualmente en la página oficial del producto al precio de 29$, salvo aquellos que dispongan de una versión en inglés registrada, que podrán acceder a una actualización gratuita. Para los que no tengan esa suerte, creo que es un buen momento para darle una oportunidad a 7zip (ya he hablado antes de él) que, aparte de ser más eficiente que su alternativa de pago, es libre y gratuito.

Microsoft ha publicado tres nuevas vulnerabilidades, sólo dos de ellas son interesantes para los usuarios domésticos. La vulnerabilidad más crítica afecta a Outlook 2002 (correspondiente a la suite Office XP), no me voy a extender porque ya ha sido explicada en Hispasec, sólo añadir a lo allí expuesto, que vuelve a ser ridículamente fácil aprovechar el fallo, basta con crear un enlace mailto que contenga la cadena """ y, a partir de ahí, la imaginación (y los permisos del usuario que pinche en el enlace) es el límite.

La otra vulnerabilidad afecta a las versiones 6.0 y 6.1 de MSN Messenger y, al parecer, no hay parche para ella, es necesario bajar de nuevo el programa completo, eso se desprende del informe técnico, ya que el enlace "Descargar la actualización" te envía a la página de descarga del programa completo, dónde no hay ninguna mención ni a la vulnerabilidad ni a parche alguno. Esta vulnerabilidad permite a los contactos de aquellos que no actualicen, leer cualquier fichero del que se conozca su ubicación (por ejemplo, el fichero de las contraseñas del equipo, que está siempre en el mismo sitio).

El sitio de seguridad Corsaire.co.uk ha hecho pública una vulnerabilidad que, en principio, afectaba a los navegadores más conocidos.

Esta vulnerabilidad permitiría a un atacante ver el contenido de las cookies de su víctima y, como muchas veces el contenido de éstas son nombres de usuario y contraseñas (por ejemplo, para acceder a servicios de webmail como Hotmail), usar éstos datos posteriormente para usurpar cuentas de correo (o cuentas bancarias, que usan el mismo sistema) o suplantar la identidad de otros. Microsoft ha otorgado a fallos similares una calificación de "Importante", su segundo nivel de peligrosidad, después de "Crítico".

Descubierto el bug el 8 de julio de 2003, entre el 12 y el 18 del mismo mes, todas las empresas y equipos de desarrollo de los navegadores fueron informados del problema. Esto nos va a permitir hacer una comparación de la velocidad de respuesta de los distintos navegadores ante un mismo problema. A continuación los datos:

• Opera corrigió la vulnerabilidad en su versión 7.21, que apareció el 14 de octubre de 2003 (recientemente ha aparecido la 7.50 beta 3).
  
• Mozilla hizo la corrección en su versión 1.4.1, el 10 de octubre de 2003 (la versión actual es la 1.6). Por su parte Mozilla Firefox corrigió el problema con la versión 0.6.1, el 29 de julio de 2003 (la versión actual es la 0.8).
  
• Apple sacó un parche para corregir ésto en Safari el 5 de diciembre de 2003.
  
• Konqueror, el navegador del entorno de escritorio KDE, corrigió la vulnerabilidad en la versión de KDE 3.1.4, que se liberó el 16 de septiembre de 2003 (la 3.2.1 está disponible desde hace unos días).
  
• Microsoft por su parte, pese a que se ha confirmado que, al menos, las versiones 5.0, 5.5 y 6.0 de su navegador Internet Explorer son vulnerables, no ha sacado nueva versión ni parche de seguridad para corregir ésto, por lo que este problema se suma a la lista de más de 20 fallos de seguridad conocidos de este navegador que están a la espera de una solución.
  

Cada uno que saque sus conclusiones a la vista de los datos, pero está claro que la fama de velocidad en la resolución de problemas del modelo de software libre (Konqueror, Mozilla y Firefox), lejos de ser un tópico, es muy real y superior a la de los productos comerciales (Opera, Safari, Internet Explorer).

También tengo que hacer notar el trabajo de las distribuciones. Mandrake Linux (una distribución Linux de la que ya he hablado y la que uso actualmente), por ejemplo, puso a disposición de sus usuarios, el mismo día que se hizo pública esta vulnerabilidad (10 de marzo de 2004) una actualización para Mozilla 1.4 y un parche del paquete kdelibs que corrige el problema en Konqueror en versiones de KDE anteriores a la 3.1.4, para aquellos que no se hubieran preocupado de ir actualizando sus programas. Compárese la diligencia de Mandrake con la actuación del gigante Microsoft, pese a sus últimos anuncios de que su prioridad es la seguridad de sus usuarios y que han tenido, como todos, casi 8 meses para prepararse.

Las nuevas versiones del gusano Bagle (Q,R,S y T, practicamente idénticos entre sí) que empezaron a propagarse el día 18 vienen en un correo electrónico en HTML (es decir, envíado como página web) vienen sin fichero adjunto. Al abrir el mensaje o previsualizarlo en la ventana de Outlook o Outlook Express, el código HTML aprovecha una vulnerabilidad de Internet Explorer (Outlook y Outlook Express utilizan el motor de éste para previsualizar correos) para descargar el virus desde otro equipo ya infectado, autoejecutándose el código malicioso en cuanto termina la descarga.

Además, estas versiones de Bagle son, en cierta manera, virus "a la antigua", quiero decir con ésto que infectan archivos ejecutables y se produce la reinfección cada vez que se ejecuta uno de ellos que ha sido "parasitado" por el virus.

La vulnerabilidad de IE de la que se sirve el gusano para hacer esto debería haber sido resuelta con el parche MS03-040, que salió el 6 de octubre de 2003, pero que, según Enciclopedia Virus, no funciona en este caso.

El fallo ya no se da a través del navegador de Microsoft viendo una página web cualquiera, pero resulta que los sistemas operativos Windows consideran confiable todo lo que trata de ejecutarse desde el disco duro (la famosa "Zona de Confianza") y es justo ahí dónde van a parar los mensajes descargados del servidor de correo y, al parecer, eso no se tuvo en cuenta a la hora de crear el parche.

Hay que recordar asimismo que el parche MS03-040, es un parche para un parche, el MS03-032, que apareció el 20 de agosto de 2003. A ver si no tardan otra vez casi dos meses en sacar el parche para el MS03-040.

Las soluciones pasan por configurar Outlook y Outlook Express para mostrar todos los mensajes cómo texto plano, o bien, desactivar la vista previa y no abrir (basta con abrirlo para infectarse) ningún correo sospechoso. Otra solución es evitar el uso de los clientes de correo Outlook de Microsoft y usar cualquier otro, por ejemplo, Mozilla Thunderbird, que es de código abierto y gratuito o Mozilla Mail, incluido en la suite de internet Mozilla. El uso de un firewall correctamente configurado también debería detener la descarga del virus (el firewall de Windows XP no serviría de nada en este caso).