navegaseguro

Al hilo de lo que decía el otro día sobre la cada vez mayor falta de información en los boletines de seguridad de Microsoft, hay que añadir que siempre han usado un vocabulario algo especial en sus comunicados hasta el punto de que, como comenta rvr en su bitácora de Barrapunto alguien ha creído necesario hacer un diccionario Microsoft-Inglés.

Sin embargo, a veces, son realmente muy claros y directos. En la Microsoft Knowledge Base se encuentran recopilados los problemas conocidos del software de Microsoft junto con la solución recomendada por ellos mismos; gracias a Kim Scarborough tengo un ejemplo de lo que decía al principio del párrafo. La página de la Knowledge Base en cuestión describe un error de Outlook 2002 que impide el uso del programa, según Microsoft éstas son la causa y la solución del problema:

CAUSA
Este problema puede producirse si tiene usted un antivirus o un firewall instalado y funcionando en su computadora.

SOLUCION
Para resolver este problema, desinstale el antivirus o el firewall de su computadora.

¿Está claro, no? Gran solución. La página de la que hablo, hasta ayer, podía encontrarse aquí. Para evitar la publicidad negativa, Microsoft ha retirado el artículo que, en estos momentos, se estará reescribiendo. A ver qué dice cuando lo terminen.

Microsoft publicó ayer los boletines de seguridad de este mes, junto con sus parches asociados. En total, cuatro parches que corrigen un total de 20 vulnerabilidades. Todas las versiones de Windows están afectadas, como mínimo, por cinco de estos fallos.

Se quejan en Hispasec, con razón, de que Microsoft cada vez da menos información en sus boletines. Esto es así hasta tal punto que es difícil decir, al menos a primera vista, qué es lo que han corregido, sobre todo si tenemos en cuenta que, al menos para mí, la lista de los fallos pendientes comenzaba a ser inmanejable, por lo extensa.

Para los usuarios domésticos, lo más importante son varios fallos arreglados que permitían ejecutar cualquier código remotamente (y por lo tanto servían de punto de entrada de virus y troyanos) en Outlook Express, Internet Explorer y el servicio RPC, que el gusano Blaster hizo famoso el verano pasado y que no ha dejado de dar problemas desde entonces, ya he perdido la cuenta de cuantas veces ha sido necesario parchearlo.

A pesar de que el número de vulnerabilidades arregladas este mes es alto, Microsoft está lejos de ponerse al día y tanto Internet Explorer como Outlook y Outlook Express quedan muy lejos de poder ser considerados seguros. El último bug de Internet Explorer, no es que sea precisamente un fallo de seguridad, pero es ilustrativo de hasta que punto con este navegador los problemas no terminan nunca: un sencillo javascript permitiría a un webmaster con mala idea, enviar la página que se visita a la impresora de una a infinitas veces, sin pedir confirmación y, supongo, dando un buen susto al usuario (una cosa es que se te abra un pop-up y otra que salga impreso por sextuplicado).

Otro punto curioso es ver como, cada vez más, las versiones de Windows más modernas y consideradas más seguras por la propia Microsoft, como XP o 2003 Server, sufren de fallos críticos que no tienen efecto alguno o un efecto mucho más moderado en los vetustos Windows 98 y NT 4.

La vulnerabilidad en el cliente de la red P2P eDonkey eMule está explicada en Hispasec. La nueva versión del cliente de eMule, 0.42e, la corrige. Se recomienda actualizar inmediatamente, porque hay códigos en circulación que permiten aprovechar la vulnerabilidad.

El fallo en el reproductor multimedia WinAMP afecta a todas sus versiones desde la 2.91 (probablemente, también anteriores) hasta la 5.02. Consiste en un error en el manejo de los archivos de Fasttracker 2 que puede permitir la ejecución de código remota, por ejemplo, engañando al usuario para que visite una página web y reproduzca un archivo de ese tipo. La nueva versión 5.03 de WinAMP corrige el bug.

A estas alturas, no creo que quede nadie que no se haya enterado de que Google está preparando el lanzamiento de Gmail, un nuevo servicio de webmail gratuito con capacidad de 1GB, una cantidad de almacenamiento entre 170 y más de 500 veces superior a lo que ofrecen las compañías líderes de la competencia: Yahoo! y MSN Hotmail, entre otras.

Sin embargo, hay una gran cantidad de confusión y desinformación alrededor de la forma que Google va a usar para financiar Gmail: su servicio de publicidad Google AdSense y sus anuncios de texto relevantes respecto al contenido. Se especula que el hecho de permitir que Google AdSense explore y registre los mensajes en busca de palabras clave para introducir publicidad basada en texto en consonancia con el contenido, puede menoscabar la privacidad del usuario del servicio y se están levantando numerosas voces en contra de Google por este motivo.

Desde luego, la privacidad puede quedar en entredicho con el servicio de Google, pero es que la competencia no está mejor. De hecho, lo corriente no es sólo no garantizar en modo alguno la privacidad de los correos electrónicos, sino obligar al usuario, mediante el contrato que le da derecho a una cuenta de correo gratuita, a ceder los derechos del contenido de cualquier envío a la empresa prestadora del servicio; es decir, que no sólo no te garantizan que no leerán tus correos, sino que se arrogan la propiedad del contenido de los mismos. A continuación dos ejemplos, que, espero, sean suficientemente explicativos por sí mismos:

De las Condiciones de uso de Hotmail, punto 6:

Con respecto a cualquier material que usted envíe o de otro modo proporcione a Microsoft en relación con los Sitios Web de MSN (un “Envío”), usted autoriza a Microsoft a (1) usar, copiar, distribuir, transmitir, mostrar públicamente, ejecutar públicamente, reproducir, editar, modificar, traducir y cambiar el formato de su Envío, siempre en relación con los Sitios Web de MSN y (2) sublicenciar estos derechos, en la medida de lo permitido por la ley aplicable. Microsoft no le pagará a usted nada por su Envío. Microsoft podrá eliminar su Envío en cualquier momento. En lo que respecta a cada Envío, usted manifiesta tener todos los derechos necesarios para conceder la autorización prevista en esta cláusula. En la medida de lo posible de acuerdo a lo permitido por la ley en vigor, Microsoft podrá controlar su correo electrónico u otras comunicaciones electrónicas y podrá revelar dicha información, en caso de que estime que tiene las razones suficientes para creer que efectivamente resulta necesario, al objeto de garantizar el cumplimiento de este Contrato y de proteger los derechos, propiedad e intereses de los Colaboradores de Microsoft o cualquiera de sus clientes.

De las Condiciones del Servicio de Yahoo!, punto 10.7:

Salvo que expresamente se manifieste lo contrario en las Condiciones Particulares, la remisión por parte de los Usuarios de informaciones y/o contenidos a las secciones de acceso público de este Portal (incluyendo, a título meramente enunciativo, maquetas, sugerencias, ideas, dibujos, conceptos, comentarios, preguntas, o cualesquiera otros de análoga significación) a través del correo electrónico o de cualesquiera otros medios, implicará el otorgamiento a favor de Yahoo! de una licencia no exclusiva, sin límite en el tiempo, de ámbito mundial y de carácter gratuito para reproducir, almacenar, editar, modificar, publicar, incorporar en bases de datos, comunicar públicamente, transmitir, visualizar, distribuir, representar o, en cualquier otra forma, explotar comercialmente, en todo o en parte, tales informaciones o contenidos titularidad del Usuario en el Portal en cualquier forma o a través de cualquier medio o tecnología. Yahoo! se reserva el derecho, a su sola discreción, de editar, rechazar o eliminar las informaciones y/o contenidos antes referidos.

Creo que no hace falta añadir nada más, pero por si acaso, vamos a comparar con los Términos de Uso de Gmail, punto 5 (traduciré a continuación):

Google does not claim any ownership in any of the content, including any text, data, information, images, photographs, music, sound, video, or other material, that you upload, transmit or store in your Gmail account. We will not use any of your content for any purpose except to provide you with the Service.

Traducido:

Google no reclama la propiedad de ninguno de los contenidos, inclyendo texto, datos, información, imágenes, fotografías, música, sonido, video, o cualquier otro material, que suba, trasmita o almacene en su cuenta Gmail. No usaremos ninguno de sus contenidos para propósito alguno, con la excepción de proporcionarle el servicio mismo.

Concluyendo, que el alboroto formado alrededor de Google y la privacidad de sus usuarios está siendo claramente exagerado, ya que, de hecho, sus condiciones son mejores y más respetuosas que las de la competencia.

Actualización 5/4/2004

En google.dirson.com también se trata el tema.

Una vez más, la integración de Internet Explorer con el sistema operativo Windows es fuente de problemas de seguridad. En este caso, se trata de que se usa el motor de IE para mostrar los ficheros de ayuda de Windows y es posible llamarlos desde una página web (ya sea pinchando en un link o automáticamente usando javascript) mediante dos protocolos propietarios de Microsoft que sólo entiende Internet Explorer. No es la primera vez que hay problemas con estos protocolos, que han sido parcheados en distintas ocasiones. Secunia le otorga una gravedad de 4 en una escala de 5.

Mediante la nueva forma de explotar la debilidad del sistema de archivos de ayuda de Windows, en combinación o no con otras vulnerabilidades que aún no han sido parcheadas puede conseguirse lo siguiente:

• Comprobar la existencia de un fichero en una localización concreta dentro del árbol de directorios de Windows.
  
• Abrir un fichero de ayuda que se encuentra en un servidor remoto. Ésta es incluso divertida, si se usara éste sistema para abrir pop-ups, ningún antipop-up para IE (esto incluye el que vendrá integrado en IE 6.05 dentro del SP2 para Windows XP) podría detenerlas, porque el navegador de Microsoft las dibuja a petición del sistema de ayuda.
  
• Instalar y ejecutar programas y hacerlos funcionar en segundo plano, en modo invisible para el usuario (para instalarlos es necesario usar otra vulnerabilidad distinta, de ahí que ésta no reciba el nivel de gravedad máximo).
  

Una solución es eliminar la asociación de los archivos CHM con IE, esto desactivará el sistema de ayuda pues ya no habrá ningún programa capaz de abrir los ficheros. Otra solución es editar el registro de Windows y en la rama HKEY_CLASSES_ROOT/PROTOCOLS/Handler, eliminar los protocolos ms-its(its) y mk:@MSITStore (si alguien se decide a jugar con el registro de Windows, haced copia de seguridad antes, que nunca se sabe).

Windows 98 es inmune a ésta vulnerabilidad, ya que las librerías de su sistema de ayuda son distintas y funcionan de forma diferente a las de las versiones más modernas de Windows.

Tal y como adelanté a finales de enero, el portal comunitario Nautopia estrena su versión 3.0, con un nuevo formato (Movable Type), nuevo diseño, nuevo alojamiento y nuevo dominio: Nautopia.net.

De postre, han traducido al castellano el Manual de Usuario de Movable Type.

A través de los foros de MozillaZine me entero de que al menos un página de búsqueda de cracks está intentando instalar spyware a través del sistema XPI que los navegadores con motor Gecko usan para instalar extensiones. Si, en cambio, el navegador es Internet Explorer la página intentará instalar un control ActiveX. El spyware que se instala en ambos casos es XXXToolbar, así que toca hacer comparaciones de navegadores otra vez, en este caso Firefox 0.8 e Internet Explorer 6 SP1 con todos los parches instalados.

En mis pruebas con Firefox no salió el cuadro de diálogo pidiéndome que instalara la extensión maliciosa (Content Access Plugin 1.01), ni siquiera al intentarlo con una instalación por defecto. En MozillaZine también hay varios usuarios que están en la misma situación, el cuadro de diálogo no aparece automáticamente, como debería al cargar la página; probablemente, porque el javascript que trata de identificar al navegador no es muy bueno. Para instalar la extensión y probar qué hace exactamente tuve que bajarla al disco duro y después abrirla con Firefox.

Tras pulsar el botón de "Instalar ahora" (o en el mensaje del control ActiveX "OK"), se instala un archivo EXE (por lo que sólo funcionará en Windows, no en Linux, ni en Mac OS X, ni en ninguna de las otras plataformas en las que funciona Firefox), que ejecuta y éste, a su vez, descarga unos cuantos archivos más. Mientras en la prueba con IE, el firewall no se quejó, pues el control ActiveX usaba el mismo navegador de Microsoft para bajar los archivos, usando Firefox, el firewall saltaba a cada archivo, avisando de las descargas y ofreciéndome detenerlas). Una vez terminada la instalación, cerré Firefox y intenté abrirlo de nuevo, para ver si había algún cambio, pero se negó a abrirse hasta que reinicié. En la prueba con Internet Explorer, al intertar abrirlo de nuevo el sistema se reinició solo.

Tras reiniciar, me llevé un chasco, pues esperaba que XXXToolbar se hubiese instalado en Firefox como una extensión, pero éste no había sufrido cambio alguno. Al parecer, los archivos que se descargan son idénticos en ambos casos (control ActiveX o XPI) y los cambios siempre se realizan siempre sobre IE. A partir de aquí, pues, ya no hay comparación posible, los dos casos son idénticos: mientras Firefox continúa igual, Internet Explorer tiene una página de inicio nueva, que está fijada mediante el registro de Windows, usa un buscador de ocio y pornografía en lugar del de MSN y luce una barra que recomienda páginas pornográficas con buscador integrado y muestra publicidad en forma de pop-ups a cada momento.

Un repaso con Spybot-S&D actualizado dió como resultado 44 problemas, entre cambios en el registro de Windows, archivos ejecutables y librerías de sistema instaladas por el spyware.

Se ha abierto un informe de bug en Bugzilla para que en la proxima versión de los navegadores Gecko no haya posibilidad de que aparezca el cuadro de descarga automáticamente. También se está preparando un centro de control de extensiones mejorado que permita desintalarlas con facilidad.

Según parece, el Service Pack 2 para Windows XP, cuando salga, desactivará por defecto (por fin) los controles ActiveX en Internet Explorer, las actualizaciones se llevarán a cabo desde el Panel de Control de Windows en el nuevo Centro de Seguridad. Asimismo, traerá una nueva versión de IE, la 6.05, que vendrá con la posibilidad de instalar (mediante controles ActiveX) y desintalar add-ons (similar a las extensiones de Mozilla y Mozilla Firefox) desde un panel de control en el navegador. No está claro si Internet Explorer 6.05 estará disponible para otras versiones de Windows distintas de XP.

Las nuevas versiones del gusano Bagle (Q,R,S y T, practicamente idénticos entre sí) que empezaron a propagarse el día 18 vienen en un correo electrónico en HTML (es decir, envíado como página web) vienen sin fichero adjunto. Al abrir el mensaje o previsualizarlo en la ventana de Outlook o Outlook Express, el código HTML aprovecha una vulnerabilidad de Internet Explorer (Outlook y Outlook Express utilizan el motor de éste para previsualizar correos) para descargar el virus desde otro equipo ya infectado, autoejecutándose el código malicioso en cuanto termina la descarga.

Además, estas versiones de Bagle son, en cierta manera, virus "a la antigua", quiero decir con ésto que infectan archivos ejecutables y se produce la reinfección cada vez que se ejecuta uno de ellos que ha sido "parasitado" por el virus.

La vulnerabilidad de IE de la que se sirve el gusano para hacer esto debería haber sido resuelta con el parche MS03-040, que salió el 6 de octubre de 2003, pero que, según Enciclopedia Virus, no funciona en este caso.

El fallo ya no se da a través del navegador de Microsoft viendo una página web cualquiera, pero resulta que los sistemas operativos Windows consideran confiable todo lo que trata de ejecutarse desde el disco duro (la famosa "Zona de Confianza") y es justo ahí dónde van a parar los mensajes descargados del servidor de correo y, al parecer, eso no se tuvo en cuenta a la hora de crear el parche.

Hay que recordar asimismo que el parche MS03-040, es un parche para un parche, el MS03-032, que apareció el 20 de agosto de 2003. A ver si no tardan otra vez casi dos meses en sacar el parche para el MS03-040.

Las soluciones pasan por configurar Outlook y Outlook Express para mostrar todos los mensajes cómo texto plano, o bien, desactivar la vista previa y no abrir (basta con abrirlo para infectarse) ningún correo sospechoso. Otra solución es evitar el uso de los clientes de correo Outlook de Microsoft y usar cualquier otro, por ejemplo, Mozilla Thunderbird, que es de código abierto y gratuito o Mozilla Mail, incluido en la suite de internet Mozilla. El uso de un firewall correctamente configurado también debería detener la descarga del virus (el firewall de Windows XP no serviría de nada en este caso).

El sitio de seguridad Corsaire.co.uk ha hecho pública una vulnerabilidad que, en principio, afectaba a los navegadores más conocidos.

Esta vulnerabilidad permitiría a un atacante ver el contenido de las cookies de su víctima y, como muchas veces el contenido de éstas son nombres de usuario y contraseñas (por ejemplo, para acceder a servicios de webmail como Hotmail), usar éstos datos posteriormente para usurpar cuentas de correo (o cuentas bancarias, que usan el mismo sistema) o suplantar la identidad de otros. Microsoft ha otorgado a fallos similares una calificación de "Importante", su segundo nivel de peligrosidad, después de "Crítico".

Descubierto el bug el 8 de julio de 2003, entre el 12 y el 18 del mismo mes, todas las empresas y equipos de desarrollo de los navegadores fueron informados del problema. Esto nos va a permitir hacer una comparación de la velocidad de respuesta de los distintos navegadores ante un mismo problema. A continuación los datos:

• Opera corrigió la vulnerabilidad en su versión 7.21, que apareció el 14 de octubre de 2003 (recientemente ha aparecido la 7.50 beta 3).
  
• Mozilla hizo la corrección en su versión 1.4.1, el 10 de octubre de 2003 (la versión actual es la 1.6). Por su parte Mozilla Firefox corrigió el problema con la versión 0.6.1, el 29 de julio de 2003 (la versión actual es la 0.8).
  
• Apple sacó un parche para corregir ésto en Safari el 5 de diciembre de 2003.
  
• Konqueror, el navegador del entorno de escritorio KDE, corrigió la vulnerabilidad en la versión de KDE 3.1.4, que se liberó el 16 de septiembre de 2003 (la 3.2.1 está disponible desde hace unos días).
  
• Microsoft por su parte, pese a que se ha confirmado que, al menos, las versiones 5.0, 5.5 y 6.0 de su navegador Internet Explorer son vulnerables, no ha sacado nueva versión ni parche de seguridad para corregir ésto, por lo que este problema se suma a la lista de más de 20 fallos de seguridad conocidos de este navegador que están a la espera de una solución.
  

Cada uno que saque sus conclusiones a la vista de los datos, pero está claro que la fama de velocidad en la resolución de problemas del modelo de software libre (Konqueror, Mozilla y Firefox), lejos de ser un tópico, es muy real y superior a la de los productos comerciales (Opera, Safari, Internet Explorer).

También tengo que hacer notar el trabajo de las distribuciones. Mandrake Linux (una distribución Linux de la que ya he hablado y la que uso actualmente), por ejemplo, puso a disposición de sus usuarios, el mismo día que se hizo pública esta vulnerabilidad (10 de marzo de 2004) una actualización para Mozilla 1.4 y un parche del paquete kdelibs que corrige el problema en Konqueror en versiones de KDE anteriores a la 3.1.4, para aquellos que no se hubieran preocupado de ir actualizando sus programas. Compárese la diligencia de Mandrake con la actuación del gigante Microsoft, pese a sus últimos anuncios de que su prioridad es la seguridad de sus usuarios y que han tenido, como todos, casi 8 meses para prepararse.

Microsoft ha publicado tres nuevas vulnerabilidades, sólo dos de ellas son interesantes para los usuarios domésticos. La vulnerabilidad más crítica afecta a Outlook 2002 (correspondiente a la suite Office XP), no me voy a extender porque ya ha sido explicada en Hispasec, sólo añadir a lo allí expuesto, que vuelve a ser ridículamente fácil aprovechar el fallo, basta con crear un enlace mailto que contenga la cadena """ y, a partir de ahí, la imaginación (y los permisos del usuario que pinche en el enlace) es el límite.

La otra vulnerabilidad afecta a las versiones 6.0 y 6.1 de MSN Messenger y, al parecer, no hay parche para ella, es necesario bajar de nuevo el programa completo, eso se desprende del informe técnico, ya que el enlace "Descargar la actualización" te envía a la página de descarga del programa completo, dónde no hay ninguna mención ni a la vulnerabilidad ni a parche alguno. Esta vulnerabilidad permite a los contactos de aquellos que no actualicen, leer cualquier fichero del que se conozca su ubicación (por ejemplo, el fichero de las contraseñas del equipo, que está siempre en el mismo sitio).

Se trata de sendos desbordamientos de buffer que podrían permitir la ejecución de código al intentar abrir un fichero previamente descargado o recibido por correo electrónico. En Winzip las versiones afectadas van desde la 6.2 a la última beta de la 9.0. En Adobe Reader (antes conocido como Adobe Acrobat Reader) es la versión 5.1 la que es vulnerable.

Los detalles de las vulnerabilidades de uno y otro han sido publicadas por Hispasec.

Las soluciones pasan por actualizar a la última versión en ambos casos. La versión 6.0 del lector gratuito de ficheros PDF Adobe Reader puede conseguirse en su página oficial. Winzip 9.0 final (no la beta, que es vulnerable) puede adquirirse igualmente en la página oficial del producto al precio de 29$, salvo aquellos que dispongan de una versión en inglés registrada, que podrán acceder a una actualización gratuita. Para los que no tengan esa suerte, creo que es un buen momento para darle una oportunidad a 7zip (ya he hablado antes de él) que, aparte de ser más eficiente que su alternativa de pago, es libre y gratuito.

Mozilla Firefox es uno de los navegadores más seguros, a la par que sencillos y cómodos de instalar y usar. Pero ambas cosas pueden ser afinadas un poquito más con una configuración avanzada.

Ya he nombrado otras veces que no me gusta que un webmaster tenga la libertad de usar javascript para dejarme sin parte de la interfaz de mi navegador (la barra de direcciones, los menús y botones o las scrollbars, por ejemplo), por no hablar de redimensionar ventanas más allá del espacio disponible en la pantalla o hacer desaparecer la barra de estado. Aparte de lo molestas que resultan estas prácticas (por otro lado, bastante habituales), estos trucos de javascript también pueden usarse con fines maliciosos. En muchos otros sitios, sin embargo, el javascript (usado correctamente) es necesario, así que tampoco es cuestión de prescindir de él completamente por ésto.

Por suerte, Firefox nos permite desactivar todos estos usos molestos del javascript, sin tener que desactivarlo del todo. Para empezar usaremos el menú Herramientas y seleccionaremos Preferencias.



Pulsando el botón Avanzadas ya podemos desactivar unos cuantos trucos molestos con un sólo clic.



Todavía nos queda desactivar el javascript que permite hacer desaparecer partes de la interfaz (o, incluso, hacerla desaparecer por completo, como suele hacerse en los pop-ups). Para ésto escribiremos about:config en la barra de direcciones para acceder a la configuración avanzada y usaremos el filtro dom.disable para quedarnos con las opciones que nos interesan, dejando los valores como puede verse en la imagen siguiente (haz clic para verla ampliada).



Para cambiar los valores, hay que hacer clic derecho sobre cada uno de ellos y seleccionar Modificar, después, escribir true en el recuadro y pulsar Aceptar.

Con ésto, ya está listo, a partir de ahora estamos seguros de tener la interfaz del navegador bajo control en todo momento, mejorando la comodidad de la navegación y la seguridad.

Una de las cosas básicas que deben hacerse en cualquier sistema operativo para mejorar su seguridad es asegurarse de que no corren más servicios de los estrictamente indispensables. En Windows XP hay, sin duda, demasiados en funcionamiento en la instalación por defecto, al menos para un uso doméstico. Varios virus y adwares se han aprovechado ya de fallos en algunos de estos servicios, habilitados por defecto, aunque inútiles para la mayor parte de la gente, para funcionar. Recortarlos al mínimo puede ser complicado para un usuario común, primero, porque el asistente que los regula está algo escondido en el panel de control y, segundo, porque en casi todos los casos no está claro que son, ni que hacen, ni para que sirven.

En WinInfo.com.ar hay un tutorial de 4 páginas en el que se explica cada uno de los servicios de Windows XP y cómo deben configurarse según la situación particular del equipo que recomiendo seguir.

Al parecer, el próximo Service Pack 2 para Windows XP reducirá algo el número de servicios que funcionan por defecto y traerá algunas mejoras más en seguridad, pero no hay porqué esperar; por cierto, el Service Pack 2 que corre por ahí es una beta, provoca inestabilidad, errores aleatorios y cuelgues en el equipo en el que se instala. No hay que dejarse llevar por la "versionitis", te puedes cargar tu Windows XP por instalarla. Es mejor esperar a la versión final oficial, que, aún así, no me extrañaría que también diera problemas, va a tocar demasiadas cosas al mismo tiempo y, la última vez que hicieron eso con un parche, tuvieron que sacar un parche para el parche y un parche para el parche del parche.

En VSAntivirus publican Mozilla vulnerable a ataques del tipo "Cross-Domain". En la versión actual de Mozilla ya está corregido (¡Se tardó menos de un día en corregirlo!), aunque no se ha hecho público hasta ahora.

El navegador Mozilla se diseñó con varias capas de seguridad para evitar este tipo de ataques, por lo que explotar la vulnerabilidad en versiones anteriores tampoco es sencillo y requiere cierta intervención del usuario (aunque tampoco mucha, basta con mover el ratón), sin embargo, ya que está disponible el exploit de demostración, puede hacerse uno peligroso con relativamente poco esfuerzo, así que aconsejo actualizar a la última versión por si acaso.

Una de las nuevas vulnerabilidades descubierta en Internet Explorer 6 permite que puedan descargarse, instalarse y ejecutarse troyanos, virus y, en general, cualquier programa, sólo con visitar una página web, sin intervención ni conocimiento del usuario. También permite ejecutar cualquier programa del que se conozca su ubicación en el disco duro del cliente de forma remota.

La segunda vulnerabilidad permite hacer lo mismo que la anterior, aprovechando dos bugs conocidos y antiguos (más de un año) de IE que nunca han sido arreglados. Necesita también de otra aplicación que guarde información que más tarde ejecutará en un lugar y con un nombre predecibles. La lista de aplicaciones que se sabe que pueden usarse de esta manera incluyen WinAmp, Macromedia Flash Player, ICQ, AIM y, probablemente, otros clientes de mensajería instantánea.

Incluso con la protección de un antivirus actualizado y un firewall, estas dos vulnerabilidades podrían permitir a un atacante habilidoso tomar el control del equipo e instalar en él cualquier tipo de servicio o herramienta, haciéndolos funcionar sin el conocimiento del usuario.

Aconsejo instalar y comenzar a usar otro navegador de forma inmediata y, en el caso de se disponga de un firewall personal, denegar el acceso a la Red a Internet Explorer y levantar esta prohibición solamente para las visitas a Windows Update.

Microsoft ha reconocido que entre el código filtrado de Windows 2000 se encuentra la mayor parte del código de Internet Explorer 5.x, por lo que lo consideran no seguro y aconsejan la actualización inmediata (con buenas razones, a los dos días de filtrarse el código, ya se le ha encontrado un fallo de seguridad a esa versión de IE). La actualización podría muy bien no ser suficiente en fechas próximas, pues se conocen otros fallos del navegador (no agujeros de seguridad propiamente, pero sí otros que permiten colgar el navegador, abrir otras aplicaciones remotamente, etc.) que han pasado sin arreglar de una versión a otra, por lo que, aunque éste primero no afecte a IE6, otros que le sigan sí podrían hacerlo. Además, por mucho que digan que IE6 es, al menos, tan seguro como cualquier otro navegador de los que existen actualmente, debería ser evidente para cualquiera que ésto no es cierto y, menos todavía, porque le han arreglado ya muchos fallos. Lo importante no es cuantos fallos le han arreglado, sino los que quedan por arreglar que son de dominio público.

Por último, quiero hacer notar que, el hecho de que el código de un programa sea conocido, no es motivo para considerarlo inseguro; si está bien hecho, da igual que esté a la vista de todos. El código de Mozilla y de Firefox es público desde el primer momento, y son, probablemente, los navegadores más seguros hoy día.

El Proyecto NAVE ha completado la traducción del navegador Firefox.

Arregla ciertos problemas de presentación que se daban en la versión que apareció en los foros de ElOtroLado (que, por lo demás, era muy correcta).

Hablando de traducciones, hay que visitar también Mozilla Europe, también en castellano ahora.

Según OSSecurity mediante un ataque conocido como "DLL Proxy" todo lo que Internet Explorer envía (contraseñas, números de cuenta...) durante una sesión segura (https://), como es habitual en las conexiones con bancos, medios de pago electrónicos e identificación de acceso a cuentas de correo, puede ser leído y almacenado en texto plano para ser recuperado por el atacante posteriormente. El resultado sería similar a instalar un keylogger, pero más cómodo, pues encontrar algo útil entre los registros de un keylogger puede ser una tarea pesada, que se simplificaría enormemente usando este método.

Aunque es IE el que desde ahora permite explotar la vulnerabilidad, ésta (conocida como "DLL Injection") existe en todos las versiones del sistema operativo de Microsoft desde Windows 95, como llevan años denunciando en Nautopia.

En Windows 95, 98, ME y XP (éste último sólo si se usa FAT como sistema de archivos) la única forma de evitar este tipo de ataque es usar otro navegador para las transacciones que se lleven a cabo bajo conexión segura.

En Windows NT, 2000, XP (si usa NTFS como sistema de archivos) y 2003 puede dificultarse el ataque usando una cuenta de usuario distinta de la de administrador para navegar por Internet. Digo dificultar y no imposibilitar, porque podrían usarse otras vulnerabilidades para conseguir privilegios de Administrador o Sistema, por lo que el filtro ACL que proporciona NTFS no serviría para nada. Lo más seguro es usar otro navegador, si bien la precaución adicional de usar una cuenta sin privilegios para navegar es buena idea.

Microsoft fue informada de la vulnerabilidad (DLL Proxy) en diciembre del año pasado y se ha hecho pública al no haber respuesta del fabricante hasta el momento.

Según VSAntivirus el navegador Opera también sería vulnerable a la falsificación de la verdadera extensión de los ficheros a descargar.

Las soluciones para evitar caer en el engaño, por tanto, son las mismas que en el caso de Internet Explorer, mientras sale un parche o una nueva versión que arregle el fallo. Si se sigue usando Opera (o IE), no elegir nunca abrir en el cuadro de diálogo de descarga, en su lugar descargar todos los ficheros y verificar que no hay un CLSID en el nombre del archivo descargado antes de abrir un programa que pueda leer el fichero.

Las usuarios de Opera sobre otro sistema operativo distinto de Windows no tienen nada que temer de éste bug, pues no puede explotarse sin combinarse con la vulnerabilidad del Explorador de Windows que afecta al manejo de los ficheros descargados cuando una de las extensiones viene especificada con un CLSID.

Otra solución es usar el navegador Mozilla u otro basado en él.

Me entero leyendo Denken Über de que en esta nota de Neowin se afirma que se ha filtrado código de Windows 2000 y Windows NT. Tambien se habla de ello en este hilo de Slashdot. El archivo comprimido con el código puede encontrarse en la red eDonkey.

Si realmente resulta ser parte del verdadero código de Microsoft, en pocos días puede haber novedades (y vulnerabilidades) interesantes. El código de Windows es su mayor valor, y se mantiene secreto. Las posibilidades de que sea ciertamente el código real son altas, pues Microsoft no hace mucho, comenzó a relajar su política a este respecto y ha ido mostrando partes de su código a varios gobiernos que empezaban a pensar en el software libre y, como decía hace un rato si un secreto es conocido por muchos, antes o después, deja de ser secreto.

Actualizado

Sólo mirar la lista de los ficheros filtrados impresiona. Por los nombres de ficheros y directorios, habría código del kernel, de IE, de Windows Media, de MS Access, del Explorador de Windows (que también es la shell del sistema operativo)...

Segunda actualización

Es oficial. El código es auténtico.