Ya puede descargarse Firefox 1.0. En la página de descarga según sistema operativo e idioma ya está disponible en español (versión argentina) y catalán.

Actualización

El XPI para traducirlo al castellano y los instaladores en español pueden conseguirse desde la página del proyecto NAVE.

Unas cuantas razones para actualizar a la 1.0:

http://secunia.com/advisories/13144/

http://secunia.com/advisories/12956/

http://secunia.com/advisories/12712/

http://secunia.com/advisories/12708/

http://secunia.com/advisories/12580/

http://secunia.com/advisories/12526/

Como puede verse, resulta que el programa de recompensas de la Fundación Mozilla para quien encontrase fallos de seguridad antes de que fuesen explotados en sus programas ha dado sus buenos frutos estos últimos dos meses y se han arreglado muchos fallos de seguridad entre la 0.9 y la versión 1.0 definitiva.

Firefox puede importar todos los datos de Netscape 6/7, Mozilla, Opera o Internet Explorer, más versiones antiguas de sí mismo. Durante la instalación se te pregunta si quieres que lo haga y de cual/es de ellos.

Salvo que se actualice de 1.0 RC2, merece la pena hacer una instalación limpia para la 1.0, sobre todo estos días en que es muy probable que falle al buscar actualizaciones de temas y extensiones, sencillamente porque mozilla.org está sobrecargada. Lo más delicado son los favoritos y es fácil exportarlos y volverlos a importar. Los plugins (plugins, no extensiones, o sea, flash, java, mozplugger, etc.) pueden simplemente copiarse a otro sitio y volverlos a colocar en la carpeta plugins tras la instalación de la nueva versión.

Si se actualiza desde 0.8 o inferior, entonces la instalación limpia ya no es recomendada, sino obligatoria.

Cosas nuevas:

Lista de cambios no oficial.

Un nuevo fallo de desbordamiento de buffer en Internet Explorer permite la instalación y ejecución de programas solamente viendo una página especialmente diseñada. El error se produce cuando se enfrenta al navegador de Microsoft con atributos SRC y NAME (entre otros) extremadamente largos en las etiquetas HTML FRAME, IFRAME y EMBED.

La semana pasada se publicó en la lista de corro BugTraq el código necesario para explotar la vulnerabilidad. Sólo cuatro días después, aparecieron dos nuevos virus que usaban ese código para propagarse. Como ya ocurrió en marzo de este año con algunas versiones del gusano Bagle no hay archivo adjunto en el mensaje de estos virus y basta con hacer clic en el enlace que incluyen para infectarse.

El fallo no afecta a Windows XP con SP2 instalado, pero se ha comprobado que funciona en XP SP1 con todos los parches, así como a Windows 2000 con todos los parches (otras versiones de Windows también podrían estar afectadas).

Soluciones:

• Desactivar el contenido activo en Internet Explorer.
  
• Usar un navegador y un cliente de correo más seguros.
  

Históricamente, la línea de comandos ha sido un punto débil de las diferentes versiones de Windows, Microsoft lo sabe y ha ido incorporando más comandos y más opciones con cada versión, implementando ya buena parte de POSIX en Windows 2000 y 2003, sin embargo, fieles a su filosofía, no han completado el trabajo y usan su propia versión "mejorada", según ellos, pero incompatible con todos los demás sistemas operativos, llamada Interix.

Mejorada o no, el caso es que, incluso en Windows 2003, en el trabajo diario uno echa de menos abundantes herramientas disponibles en otros sistemas operativos, como comandos para trabajar con archivos comprimidos (unrar, bzip, gzip), con archivos y cadenas de texto (cat, sed, grep), localización de archivos (find, which) y otros viejos conocidos (mv, touch, wget, md5sum...), incluso, porqué no, un sencillo reproductor multimedia.

Pues todo eso es lo que ofrecen las GNU Utilities para Win32. A diferencia del más conocido (y más ambicioso) Cygwin, no es necesario utilizar una capa de emulación para utilizar estas herramientas, sólo dependen del entorno de ejecución de C de Windows (msvcrt.dll) para funcionar y no necesitan instalación, aunque, por supuesto, para mayor comodidad es necesario incluirlas en la variable de sistema PATH de Windows.

Nota 1: Pese a que su, chgrp y chown están portadas e incluidas, por desgracia, no sirven para nada en un entorno Windows.

Nota 2: Al referirme a POSIX en este artículo, hablo de POSIX.2 que reglamenta el shell y las utilidades básicas.

La compañía Finjan Software, que produce software de seguridad para Windows afirma en una nota de prensa (en español en VSAntivirus) que ha descubierto un total de 10 nuevos fallos de seguridad en Windows XP SP2.

Aunque no da detalles técnicos, se ha producido cierto revuelo por hacerlo público antes de que Microsoft tenga un parche para solucionarlas (de hecho, en Microsoft aún no están en situación de confirmar el alcance real de las mismas).

Además, es curioso que el anuncio de Finjan se produzca sólo unos días antes de presentar su nueva línea de productos.

Entre las vulnerabilidades se encontrarían los fallos usuales de Internet Explorer: incapacidad para impedir el acceso al sistema de archivos local, la falta de efectividad de las zonas de seguridad y una forma de evitar los avisos de descarga y ejecución de contenido activo (incluida la nueva barra amarilla).

De ser cierto, los usuarios de Windows XP SP2 estarían en la misma posición que el resto de usuarios de Windows (gracias a la última vulnerabilidad aparecida en Internet Explorer y a una conocida debilidad en el ICF) y podrían perder el control sobre su equipo simplemente viendo una página web con Internet Explorer, con la diferencia de que, en este caso, sólo la gente de Finjan y Microsoft sabe exactamente cómo hacerlo. Aunque, claro, para tomar el control de un Windows XP SP2 a través de una página web, siguen existiendo otros métodos para los que todavía no hay solución.

Avisan en Nautopia que se han descubierto dos nuevos fallos de seguridad en Internet Explorer. Los detalles allí, en Dos más para IE.

Cito los efectos:

La combinación de ambas vulnerabilidades podría ser explotada desde un portal malicioso para engañar al usuario, al facilitar la descarga de ejecutables maliciosos enmascarados como documentos HTML.

En Microsoft no dan abasto para tapar agujeros, actualmente, con un registro de 18 vulnerabilidades sin corregir, es el navegador más inseguro que existe. Incluso con el famoso Service Pack 2 para Windows XP instalado, hasta un usuario avanzado tiene que ir con cien ojos para evitar que se le cuele de todo a través del navegador; un navegador anticuado, lento, que no ha cambiado apenas nada en los últimos 3 años, y que, desde su aparición, practicamente no ha habido un momento en que no pudiera usarse para tomar el control de un equipo remotamente. En ésto último también tiene un record negativo, la tercera parte de los fallos de seguridad que se le han descubierto permiten el acceso remoto a un sistema.



Como puede verse en la imagen, lo normal es que se descubran dos o más vulnerabilidades al mes en IE6. Pero eso no es lo más grave, lo más grave es que Microsoft, de media, tarda más de un mes en disponer de parches para solucionarlas. El resultado es que, no importa si se está al día con los parches o no, el navegador siempre es vulnerable de una manera u otra. ¿Dos más para IE? La pregunta es ¿a alguien le extraña?

Panda Software informa en una nota de prensa de la aparición del gusano de correo Tasin. Sus características más destacables son que se dirige al receptor del correo infectado en español y que borra ficheros con determinadas extensiones. No trata de destruir el sistema sino borrar archivos de datos del usuario, como imágenes, videos, música, presentaciones, documentos de texto, entre otros.

Como es habitual en este tipo de gusanos, trata de distraer al usuario de distintas formas (según la versión) mientras lleva a cabo la infección y comienza a enviar correos infectados con su propio motor SMTP.

Hasta el momento se han detectado tres versiones distintas, Tasin.A, Tasin.B y Tasin.C. Las dos primeras están entre los virus más frecuentemente detectados estos últimos días.