navegaseguro

En estos días en los que el spoofing está de moda (tenemos el URL spoofing que acaba de arreglarse en Internet Explorer y la falsificación de la verdadera extensión de los archivos que sigue sin arreglar), a Don Park se le ha ocurrido otra forma de hacerlo. Su idea consiste en nada más y nada menos que sustituir toda la interfaz del navegador por imágenes (incluida la barra de direcciones, claro, en la que puede "dibujarse" cualquier dirección que se desee).

Todo el mundo ha visto abrirse páginas en las que la interfaz del navegador (con su menú y sus botones de atrás y adelante) y la barra de estado no aparecen, pues es un truco muy sencillo de javascript, que se usa, sobre todo, en las pop-ups. Partiendo de ésto, se añaden imágenes que las imiten y, en medio, se pone la copia de la página que se pretende falsificar. Otro javascript, el que se usa para identificar el navegador, sistema operativo y resolución de pantalla que está usando el visitante, completa el truco, presentando distintas imágenes atendiendo a estas tres variables.

En principio, ésto puede conseguirse en cualquier navegador, pero aquellos que soportan temas y/o son personalizables son imposibles de falsificar por este método, a no ser que se esté usando el tema por defecto y no se hayan hecho otros cambios. Así, tenemos que, nuevamente, Internet Explorer es el más vulnerable a un truco como éste (la única manera de personalizar el interfaz de IE es a través de pequeños hacks en el registro de Windows, que, mucho me temo, están fuera del alcance y/o interés del usuario medio).

Como muestra, ha preparado esta página en la que puede verse el resultado (Nota: el segundo javascript del que hablo no se ha incorporado al ejemplo, así que en él sólo se simula IE 6.x sobre Windows XP).

Ésto no es, desde luego, un fallo de seguridad y, para evitarlo, habría que recortar (con un parche o una nueva versión) lo que puede hacerse con javascript sobre las ventanas en todos los navegadores (soy partidario de ello, siempre me ha parecido intrusivo que un webmaster pueda decidir a qué partes de la interfaz de mi navegador tengo acceso en sus páginas). Pero, desde luego, alguien podría ser engañado de esta forma para entregar sus contraseñas o números de tarjetas de crédito, pensando que está en una página confiable.

Vía Otro blog más, en esta entrada, me entero de que la misma empresa de seguridad (eEye, famosa por su scanner de vulnerabilidades Retina) que ha descubierto la vulnerabilidad de la que hablaba ayer tiene otros siete más en la recámara, esperando a que Microsoft tenga parche para ellos para hacerlos públicos. Tres de ellos, tienen asignado un nivel de gravedad alto, de lo que se deduce que permiten ejecutar código de forma remota; el más antiguo fue comunicado a Microsoft hace más de tres meses. En esta página se presentan los fallos y su antigüedad de una forma muy gráfica.

Esto no tiene demasiada importancia para los usuarios, siempre que quede entre Microsoft y eEye y nadie más descubra los mismos bugs, pero debería ser preocupante para toda empresa que tenga secretos guardados en sus ordenadores y use el software de los de Redmond, pues ya no sólo tiene que confiar en el vendedor del software sino también en una empresa de seguridad privada, su plantilla y sus colaboradores. Si los secretos los conoce demasiada gente, ya no son secretos.

Si al menos se supiera en que consisten los fallos, se podrían tomar medidas contra ellos, pero gracias al modelo de seguridad por la oscuridad (lo que nadie conoce no puede hacerte daño) de Microsoft y el resto de empresas fabricantes de código cerrado, sus clientes están vendidos y dependen de que a nadie que conozca el bug se le ocurra explotarlo en una de sus máquinas.

Un usuario de los foros de ElOtroLado ha publicado una traducción no oficial (la traducción oficial es la que se está llevando a cabo por el Proyecto NAVE) al castellano del navegador Firefox.

Si hay alguno que esperaba a que estuviera disponible en español para bajárselo, ya no hace falta que siga esperando. La he instalado y no he encontrado errores. Se instala simplemente descomprimiendo un archivo en el directorio chrome y dejando que los tres ficheros que contiene sobreescriban los ya existentes.

En el momento en que esté disponible la traducción oficial, no debería haber ningún problema para instalarla.

Ya han salido los parches de este mes de Microsoft, entre ellos, uno que soluciona un bug que permitiría a un atacante

...ejecutar código con privilegios del sistema en un equipo afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

según el Boletín de Seguridad correspondiente. Los privilegios de sistema son los más altos que pueden conseguirse en un sistema Windows, por encima de los de Administrador.

El fallo afecta a todas las versiones de Windows NT, 2000, XP y 2003 Server. Aprovechando ésto podría crearse un gusano tipo Blaster, es decir, que fuese suficiente con estar conectado para infectarse; es lo bastante grave para recomendar la actualización inmediata.

El navegador hasta ahora conocido como Mozilla Firebird (y, anteriormente, como Phoenix), coincidiendo con el lanzamiento de su nueva versión, vuelve a cambiar de nombre para evitar confusiones con otros proyectos. Parece que, ahora sí, Firefox es la denominación definitiva.

La versión para Windows trae, en ésta ocasión, un instalador que evitará que sea necesario editar el registro manualmente para hacer funcionar algunos plug-ins de terceros (como java, por ejemplo) y que ha sido uno de los principales motivos que han hecho que el lanzamiento de esta versión se haya retrasado.

El instalador que utiliza Firefox 0.8 es el que se ha usado siempre para Mozilla, que tiene un problema, y es que, si el usuario elige la instalación personalizada y no tiene cuidado al elegir el directorio de instalación, seleccionando uno que no esté vacío, los archivos que haya en ese directorio se borrarán. Esto es una característica del instalador para asegurarle al programa una instalación limpia, sin rastro de versiones anteriores en su directorio de trabajo, pero si se usa descuidadamente puede dar un disgusto. Si se tiene la precaución de preparar una carpeta vacia para instalar el programa no hay ningún problema. Seleccionando la instalación por defecto tampoco hay ninguna posibilidad de perder datos. De todas formas y, aunque la posibilidad de desastre parece remota, se ha estado discutiendo largamente si debía usarse éste instalador, modificarlo, sacar también esta versión sin instalador (descomprimir y listo, como hasta ahora) o crear uno nuevo. Al final, se ha decidido modificar el cuadro de diálogo del instalador, para intentar dejar más claro que es necesario elegir una carpeta vacia y preparar uno dedicado para la próxima versión, la 0.9, que haga las comprobaciones necesarias para que la pérdida de datos sea imposible (en lugar de como está ahora, que se confía en la decisión del usuario).

Las versiones para Linux y Mac OS X se mantienen en la misma línea que las anteriores, tan sólo es necesario descomprimir el programa y ya está listo para usar.

Como precaución adicional, en cualquiera de las plataformas disponibles, si se dispone de una versión anterior y se desea conservar las preferencias y extensiones instaladas, se recomienda desactivar estas últimas en Firebird antes de arrancar FireFox e ir activandolas en éste de una en una, por si fuese necesario actualizar alguna de ellas.

Las principales mejoras que trae Firefox están en el gestor de marcadores y en el de descargas (éste muy mejorado) y en varios pequeños detalles que facilitan el uso. Ahora también es posible trabajar desconectado sin necesidad de instalar ninguna extensión adicional (Más información sobre las novedades en las Release Notes). También se nota que la carga de páginas es aún más rápida. Y el resto de características ya clasicas: navegación por pestañas, bloqueo de pop-ups y banners, autodownload, barra de búsquedas integrada... y la protección de la privacidad y la seguridad de versiones anteriores.

No me gusta hablar de virus, más que nada, porque la gran mayoría de ellos no tienen el menor interés y habría muy poco de que decir acerca de ellos. Esta gran mayoría de la que hablo, a la que Mydoom pertenece, no tienen ningún peligro si no se ejecutan. Sobre cómo evitar que te engañen para ejecutarlos sí se puede escribir un artículo, pero es que ya lo he hecho y no me apetece repetirme con lo mismo cada vez que sale uno de éstos (tendría que publicar 3 ó 4 veces al día).

De todas formas, para paliar un poco los efectos de los medios de desinformación y algunos rumores que circulan por ahí, voy a recomendar una recopilación de VSAntivirus que despeja algunas dudas y confusiones: Cuentos y verdades sobre el Mydoom.

Rompiendo la norma de publicar los parches el segundo martes de cada mes, Microsoft ofrece un parche acumulativo para Internet Explorer que corrige tres vulnerabilidades, dos de ellas ya conocidas y comentadas.

La desconocida está en el manejo de eventos de DHTML y permite descargar un archivo al disco duro, en la ubicación que el atacante decida, sin que el usuario reciba notificación alguna, simplemente pinchando un enlace especialmente construido al efecto. El archivo no se ejecuta. También puede aprovecharse a través de Outlook y Outlook Express, ya que usan IE para mostrar los correos en HTML. De hecho sería más fácil explotarlo así, pues el texto del e-mail podría tratar de convencer al usuario de que ejecutase el archivo.

Otro de los bugs que elimina es uno de éstos cinco. Cómo era necesario usar los cinco en conjunto, de momento, queda resuelta esa vulnerabilidad, pero hay que tener en cuenta que cualquiera de los otros cuatro que no se arreglan podría volver a ser peligroso en un futuro.

El tercero es el que más gracia me ha hecho. El fallo que corrige es el famoso URL spoofing que se usó en el intento de estafa a los usuarios del Banco Popular. Para corregirlo, se han cargado el estándar de construcción de URLs. Así, si escribimos en la barra de direcciones (o pinchamos en un enlace con) una URL completa (que son del tipo http(s)://usuario:contraseña@servidor), IE nos mostrará un mensaje como éste:

Error: Sintaxis no válida

Pues nada, si Microsoft lo dice, pues el estándar no es válido. Normalmente, la parte usuario:contraseña@ no se visualiza en los navegadores modernos y no se usa mucho en la navegación normal. Aun así, es necesaria en algunas descargas a través del protocolo HTTP (en este caso, el navegador debe completar lo necesario de forma automática, por lo que IE fallará a partir de ahora), para identificarse en algunas listas de correo vía web y es un pilar básico del diseño de bastantes intranets.

También han publicado un documento con alternativas para solucionar que el navegador ya no sea capaz de autenticarse. En este artículo es divertido ver como en la parte del usuario se dice que no hay de qué preocuparse ya que ahora el navegador pedirá nombre de usuario y contraseña de forma automática, mientras que, en la parte servidor, se explica cómo debe hacerse para que este "automatismo" sea posible. Es necesario añadir un par de comandos en el código de la página en que sea necesario autentificarse, pero ésto sólo funcionará con el servidor web de Microsoft y sólo para IE en la parte cliente. Menos mal que también citan que puede hacerse a través de cookies, aunque, en este caso, la solución propietaria no sería excluyente, porque el resto de navegadores sí son capaces de autenticarse normalmente.

Pese a lo excepcional de la publicación de este parche, no han cumplido con lo de publicar en cuanto estuviesen disponibles, ya que se han entretenido en ponerlos en un paquete de "sólo" 3MB.

Se llama ingeniería social a toda técnica cuyo propósito sea engañar a un usuario para que facilite contraseñas u otra información delicada, o bien conseguir que ejecute un archivo que dé el control del equipo al ingeniero. Es decir, aprovechar las debilidades de las personas en lugar de las del software.

La definición de arriba no quita que fallos en algunos programas, aunque no se les pueda llamar fallos de seguridad con propiedad, sí pueden facilitar esta tarea. Como ejemplos pueden valer perfectamente la existencia de la extensión .Folder de la que hablaba ayer o el URL spoofing en Internet Explorer que aún sigue sin arreglar.

Bueno, pues hoy me toca hablar de otro de éstos. No es más que una pequeña variación de un antiguo fallo (del 2001) que ya dió origen a al menos un virus.

Para aprovechar el fallo se añade al nombre de un archivo un número del tipo {3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}, que es lo que se llama un CLSID, los sistemas operativos Windows los usan, junto con otros métodos, para saber de qué tipo es un archivo. El bug antiguo, sin solucionar en IE, como puede verse, era que ni Internet Explorer ni el Explorador de Windows mostraban el CLSID. Así un archivo llamado soyinofensivo.txt{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B} se mostraba como soyinofensivo.txt, cuando el CLSID indica que es un ejecutable (y, de hecho, un doble-click lo ejecuta). Este fallo se corrigió en el Explorador de Windows, pero no en el navegador.

La pequeña variación consiste en llamar a un archivo, por ejemplo, documento.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}%2Epdf, el navegador mostrará, tanto en la barra de direcciones como en el dialogo de descarga documento.pdf (hay una prueba de concepto operativa de ésto en Secunia). El peligro reside precisamente en el diálogo de descarga, que nos ofrece descargar a disco o abrir; si se elige abrir, el IE le pasa el control al Explorador de Windows que mira el CLSID, ve que es ejecutable y lanza un programa para abrirlo. Este programa debería ser, si realmente fuese un .pdf, Adobe Acrobat Reader, pero como no lo es, lo que en realidad se abre es el mshta.exe. Sobre lo que puede hacerse conjugando mshta.exe y el archivo descargado (adelanto que es practicamente cualquier cosa), en VSAntivirus está muy bien explicado.

Este, además de facilitar la ingeniería social, es un buen ejemplo de como combinando pequeños fallos en unos y otros programas de Microsoft (que no sólo están en todas las instalaciones, sino que tampoco pueden ser desinstalados, lo que hace muy grande el conjunto de usuarios expuestos) y que llevan mucho tiempo sin arreglarse por considerarlos "no peligrosos" se pueden conseguir cosas que no pueden calificarse como "no peligrosas".

No entiendo nada. ¿Qué razón puede haber para que exista una extensión .Folder en los Windows XP que tenga asociado el icono de una carpeta? Salvo conseguir que algo que no sea una carpeta, aparezca como una carpeta, no se me ocurre ninguna. Pero la extensión existe.

Cualquier archivo con la extensión .Folder en Windows XP se presentará con el icono de una carpeta. A http-equiv al darse cuenta de ello, se le ocurrió coger un inocente archivo HTML como ésta misma página, por ejemplo, y cambiar la parte de .html por .Folder. El explorador de Windows muestra ahora el icono de una carpeta. Si se hace doble-click en la "carpeta" ¿qué ocurre? Pues que se abre Internet Explorer y muestra la página web. Hasta aquí, quitando la incomprensible aparición del icono de la carpeta, todo normal y sin peligro. Ahora le añadimos algo de Visual Basic Script de ese que sólo entiende el IE al HTML y un control ActiveX. Hacemos doble click otra vez, la página se muestra y el control ActiveX se ejecuta.

Para quién aún no vea el peligro, ejemplo al canto, ponte en situación, estás chateando tranquilamente con alguien, y te envía un archivo comprimido, Mis-Fotos.zip, abres el archivo y dentro hay una carpeta Mis-Fotos, haces doble click y se abre el Internet Explorer. Ahora pueden ocurrir dos cosas: una, el IE muestra una página en blanco mientras se va borrando todo el contenido del disco duro; dos, el navegador muestra una página web con fotos mientras se instala, sin que sospeches nada, un troyano que le da control completo sobre tu equipo a la persona con la que chateabas.

Soluciones: desactivar los controles ActiveX en Internet Explorer (vienen activados de serie), tener otro navegador configurado para ser el de preferencia.

Posibilidad de que aparezca un parche para ésto: Muy remota. Ya que es algo nuevo, propio de Windows XP, no creo que se lo replanteen y eliminen esa extensión especial.

Casualidades de la vida: Pese a todo, hay quien piensa que es buen momento para vender carpetas nuevas de Windows XP.

Mucho cuidado con las "carpetas" ahí fuera.

Lectura para aprovechar el domingo. Gracias a Barrapunto he encontrado este interesante artículo que Ricardo Galli ha publicado en BULMA sobre el modelo de negocio basado en servicios del Software Libre. Es posible que contenga algunos símiles poco afortunados, las comparaciones es lo que tienen, pero la idea general es buena y creo que los no informáticos también encontrarán en él algunas cosas en las que pensar.

Sin duda, tanto los comentarios en BULMA como los de Barrapunto también merecerán leerse.

A petición de VSAntivirus para su Especial: Seguridad para redes y equipos caseros, maty hace un recopilatorio de consejos y programas útiles para la seguridad de un equipo casero, a la par que va resumiendo lo que han hecho en el 2003 en NAUTOPIA. Por en medio, deja caer que pronto lo veremos usando Movable Type. Buena noticia. Ah, y el artículo es lectura obligada para los usuarios de Windows.

Rafel Ivgi (The-Insider), que en su página afirma tener 17 años y buscar trabajo como Security Researcher, ha inundado en los últimos dos o tres días la lista de correo de BugTraq (SecurityFocus) con más de una decena de nuevas "vulnerabilidades" que él mismo ha descubierto en distintos programas.

En Internet Explorer había "descubierto" tres nuevas vulnerabilidades, una de las cuales no tenía ni pies ni cabeza (ni ningún efecto, por otra parte), otra que ha resultado ser un pequeño bug conocido del servidor web Apache y una tercera que no era más que una forma, eso sí, bastante creativa, de acabar con la memoria disponible del sistema, a través de IE y Outlook Express, pero sin ningún peligro para los datos o la seguridad del sistema (aparte de obligar a estos dos programas a cerrarse cuando se acaba la memoria, claro).

Imagino que, poco a poco, se irá descubriendo que el resto de las vulnerabilidades publicadas tampoco son tales, en vista de lo que ha publicado hoy. Afirma que gracias a un fallo en el servidor del troyano NetBus, cualquiera podría subir y ejecutar archivos en la máquina infectada por el troyano y hacerse con el control de la misma. Efectivamente, ocurre así, pero es que un gran número de troyanos (NetBus entre ellos) están programados para permitir precisamente eso, luego no hay ningún error en el programa, hace exactamente lo que se espera de él, aunque, claro está, estos programas son una amenaza para la seguridad, pero eso no es ninguna noticia.

Todo esto podría parecer divertido, pero deja de serlo cuando distintas páginas de noticias de seguridad que normalmente se nutren de BugTraq o otras listas de correo similares están cayendo en el engaño y publicando las burradas que suelta este chaval.

VSAntivirus ha tenido que retractarse hoy de lo que publicaba ayer, la noticia se obtuvo de Rynho Zeros Web donde se publicó en castellano el mensaje original envíado a la lista; también han tenido que rectificar. También he visto otras "vulnerabilidades" publicadas por The-Insider en otras páginas de noticias, como SecurityTracker, pero éstas aún no han sido confirmadas ni desmentidas por nadie. Aparte de ponerse en ridículo, el muchacho está consiguiendo manchar la buena fama de BugTraq y poner en duda la credibilidad de unas cuántas páginas de noticias que, al menos, están rectificando rápidamente.

Diseño nuevo. Un poco tarde, porque pensaba tenerlo listo para primeros de año, pero aquí esta. Mi intención era hacer algo más complicado con el menú superior, al estilo del menú desplegable de mezzoblue pero, ahora mismo, no hay ningún navegador que no falle de vez en cuando al enfrentarse a algo así, por lo que esperaré a ver si mejora un poco el soporte para estas cosas. También he tenido que dejar para otra ocasión el UTF-8. No es tán fácil como yo pensaba, depende también de la configuración del servidor.

Aquellos que tengan un navegador basado en Mozilla es posible que hayan advertido que ahora pueden elegir ver la página sin estilo. En principio, no es más que un apaño para impedir que la plantilla actual, que usa posicionamiento absoluto, me moleste durante las tareas de administración (como escribir ésto). Pero, más adelante, espero poder dar a elegir entre varias plantillas por el mismo método.

Como siempre, si alguien tuviese algún problema con un navegador concreto, que me deje un comentario a ver que podemos hacer.

La versión 1.6 de la suite Mozilla ya está disponible para descarga, como siempre, con versiones para Windows, Linux y Mac OS X.

Además de distintas mejoras en cada uno de sus apartados y un mejor soporte (sí, aún mejor) para CSS2, en esta versión se corrige el famoso bug del URL Spoofing en la barra de estado.

La documentación y el soporte de la comunidad a Mozilla y Mozilla Firebird en castellano sigue aumentando. El Proyecto Nave ya tiene lista para descarga la traducción de Mozilla Firebird 0.7 en es-ES. La instalación del parche de idioma se ha simplificado significativamente. También han prometido que la de Mozilla 1.6 estará disponible enseguida. Además, en esta dirección hay un recopilatorio de enlaces para sustituir los que vienen por defecto en los navegadores Mozilla por material en castellano, incluida la ayuda del programa, extensiones, temas y foros de ayuda al usuario.

Actualizado 18/1/2004

La traducción de Mozilla 1.6 al castellano ya esta disponible.

Microsoft ha publicado puntualmente los parches de enero, tras su falta a la cita de diciembre. Son tres los parches publicados, sólo uno de interés para los usuarios comunes.

Ninguno de ellos cubre las recientes vulnerabilidades de Internet Explorer, ni ninguna de las que se arrastran de meses anteriores, pese a que están siendo explotadas (lo que es lógico, ya que se está dando muchísimo tiempo para hacerlo) y generando cierta alarma. Habrá que esperar a ver si este mes se lanza algún parche de forma especial o hay que esperar otro mes entero. Mi recomendación sigue siendo cambiar de navegador para evitarse sustos.

Al menos una empresa antivirus ha incluido los caracteres especiales que hay que añadir a un enlace para aprovechar la vulnerabilidad que permite cambiar la dirección de la página que estamos viendo (la que se usaba en el caso del intento de estafa a los clientes del Banco Popular) a sus ficheros de firmas. Esto significa que un correo electrónico que contenga un enlace construido para aprovechar esta vulnerabilidad hará saltar este antivirus (siempre que este actualizado y correctamente configurado, claro).

El parche que me interesa destacar es el que afecta a MDAC, un conjunto de componentes para proveer al sistema operativo de interoperatividad con distintas bases de datos. Una aplicación que el usuario de un PC doméstico difícilmente echaría de menos si no estuviese (aunque no dudo de su utilidad en entornos de oficina y pequeñas redes) pero que se instala por defecto en Windows 2000 y Windows XP. Algunos programas, especialmente pequeñas aplicaciones (o extensiones de otros programas) desarrolladas en Visual Basic (otro producto Microsoft) pueden requerir su instalación para funcionar (o el mismo instalador podría contener MDAC e instalarlo), así que todos los usuarios de un sistema operativo Windows, no importa su versión, deberían visitar Windows Update para comprobar si necesitan el parche.

La vulnerabilidad que corrige es un desbordamiento de buffer bastante complicado de explotar (incluso sería necesaria cierta colaboración por parte del usuario), pero no está de más actualizar y aplicar el parche porque, aunque ahora no pueda hacerse nada peligroso con él en la práctica, siempre se corre el riesgo de que aparezca otra vulnerabilidad que permita aprovechar ésta de forma sencilla conjugando ambas. En Internet Explorer, que siempre tiene varias vulnerabilidades sin corregir, han sido varias las ocasiones en las que, partiendo de varias vulnerabilidades sin riesgo inmediato se ha hallado un método para combinarlas de un modo realmente sencillo y peligroso para el usuario final.

Por terminar con una buena noticia, Microsoft también ha anunciado que ampliará el soporte para Windows 98 (que hubiera perdido el soporte este mismo mes) y para Windows ME (que hubiese terminado a final de año) durante, al menos, otros dos años, por lo que seguirá publicando, siempre que lo crea necesario, parches de seguridad para estos dos sistemas operativos durante ese período.

He nombrado, anteriormente, en un par de ocasiones, la doble lista que SpywareInfo mantiene sobre los programas de intercambio de archivos que están o no libres de spyware.

Vía blogpocket me entero de que VSAntivirus se ha comprometido a mantener esta lista actualizada y en castellano. La traducción viene precedida por una introducción al tema del spyware y los programas P2P que no hay que dejar de leer.

Soy consciente de que a mucha gente se le atraganta la información más o menos técnica, mucho más si ésta está en inglés, por lo que me parece una estupenda noticia.

El otro día enlazaba una página que recopilaba un bonito montón de buenos diseños, pero decía faemino que echaba de menos una categoría para los weblogs. Para cubrir el hueco, vía fran y manu apunto Blog Design Showcase.

Hay en circulación un correo electrónico que, aprovechando una de las vulnerabilidades de Internet Explorer (en concreto, de la que hablé aquí), trata de engañar a los usuarios del servicio de banca on-line del Banco Popular para que entreguen su número de tarjeta y su contraseña de acceso al servicio a los estafadores. Para lograr ésto, se ha creado un duplicado de la página de acceso del banco en otro servidor y se usa el fallo de Internet Explorer para sustituir en la barra de direcciones la URL real por la del banco, haciendo imposible para los usuarios de este navegador diferenciarla de la auténtica. Más detalles, en la noticia de Hispasec.

Cuando anuncié ese bug de IE, hace más de un mes, ya avisé de que ésto era posible. El error aún no ha sido subsanado por Microsoft (aunque es de esperar que los parches de este mes, cuando salgan, la solucionen) por lo que afecta a todos los usuarios de Internet Explorer, aunque tengan todas las actualizaciones disponibles instaladas.

La única solución en este momento es no usar el navegador de Microsoft para visitar páginas que requieran de información sensible (especialmente contraseñas y números de tarjeta de crédito) para funcionar, mucho menos acceder a éstas pinchando en un enlace. Dado que éste navegador tiene, en este momento, 23 fallos que dan como resultado diversos problemas de seguridad (este es sólo uno de ellos) es buena idea usar directamente otro navegador para todo. Mozilla o Mozilla Firebird son, probablemente, las mejores opciones en este momento.

Se ha publicado en la lista de BugTraq (SecurityFocus) que la versión 5.6.0.1351 y todas las inferiores de Yahoo! Messenger sufren un desbordamiento de buffer al manejar, durante la recepción de un archivo, nombres de fichero demasiado largos (por encima de 215 caracteres). Existe la posibilidad de ejecutar código en la máquina con el programa vulnerable aprovechando este fallo.

Los usuarios de Yahoo! Messenger deberían bajar la última versión (5.6.1358) que soluciona este problema.

La mayoría de usuarios difícilmente conocerán a alguién capaz de hacer daño a través de este bug, así que deberían aceptar el archivo de un desconocido (algo que nunca debería hacerse), por lo que el fallo no entraña, en principio, demasiado peligro. Lo que si me parece peligroso es que Yahoo!, aunque ha arreglado el error en su nueva versión, no lo ha notificado como fallo de seguridad ni lo ha publicado en una nota de actualización. Si no se le da publicidad a un fallo conocido, se crea una situación en la que poca gente (todavía menos de lo habitual) se entera de que debería actualizar, siendo el error conocido por sólo unos pocos, los que tienen la habilidad necesaria para hacer algo peligroso con ello, si más adelante se da la oportunidad (en forma de otro bug).

Sí, virus, o peor aún, troyanos. Al menos eso es lo que dice un informe (en inglés) de TruSecure. La noticia se puede leer en español en DiarioTI.

Aunque la noticia se refiere a lo que se comparte en la red de Kazaa (FastTrack), no hay que olvidar que el propio programa no está libre de malware, con casi total seguridad es el programa que más spyware y adware incorpora.

Otra buena razón para cambiar a otras redes menos masificadas, pero más seguras y usar programas libres de spyware para el intercambio de archivos (P2P). En SpywareInfo mantienen una lista con los programas de intercambio que no traen "regalos" indeseados consigo.