Opinión

El sitio de seguridad Corsaire.co.uk ha hecho pública una vulnerabilidad que, en principio, afectaba a los navegadores más conocidos.

Esta vulnerabilidad permitiría a un atacante ver el contenido de las cookies de su víctima y, como muchas veces el contenido de éstas son nombres de usuario y contraseñas (por ejemplo, para acceder a servicios de webmail como Hotmail), usar éstos datos posteriormente para usurpar cuentas de correo (o cuentas bancarias, que usan el mismo sistema) o suplantar la identidad de otros. Microsoft ha otorgado a fallos similares una calificación de "Importante", su segundo nivel de peligrosidad, después de "Crítico".

Descubierto el bug el 8 de julio de 2003, entre el 12 y el 18 del mismo mes, todas las empresas y equipos de desarrollo de los navegadores fueron informados del problema. Esto nos va a permitir hacer una comparación de la velocidad de respuesta de los distintos navegadores ante un mismo problema. A continuación los datos:

• Opera corrigió la vulnerabilidad en su versión 7.21, que apareció el 14 de octubre de 2003 (recientemente ha aparecido la 7.50 beta 3).
  
• Mozilla hizo la corrección en su versión 1.4.1, el 10 de octubre de 2003 (la versión actual es la 1.6). Por su parte Mozilla Firefox corrigió el problema con la versión 0.6.1, el 29 de julio de 2003 (la versión actual es la 0.8).
  
• Apple sacó un parche para corregir ésto en Safari el 5 de diciembre de 2003.
  
• Konqueror, el navegador del entorno de escritorio KDE, corrigió la vulnerabilidad en la versión de KDE 3.1.4, que se liberó el 16 de septiembre de 2003 (la 3.2.1 está disponible desde hace unos días).
  
• Microsoft por su parte, pese a que se ha confirmado que, al menos, las versiones 5.0, 5.5 y 6.0 de su navegador Internet Explorer son vulnerables, no ha sacado nueva versión ni parche de seguridad para corregir ésto, por lo que este problema se suma a la lista de más de 20 fallos de seguridad conocidos de este navegador que están a la espera de una solución.
  

Cada uno que saque sus conclusiones a la vista de los datos, pero está claro que la fama de velocidad en la resolución de problemas del modelo de software libre (Konqueror, Mozilla y Firefox), lejos de ser un tópico, es muy real y superior a la de los productos comerciales (Opera, Safari, Internet Explorer).

También tengo que hacer notar el trabajo de las distribuciones. Mandrake Linux (una distribución Linux de la que ya he hablado y la que uso actualmente), por ejemplo, puso a disposición de sus usuarios, el mismo día que se hizo pública esta vulnerabilidad (10 de marzo de 2004) una actualización para Mozilla 1.4 y un parche del paquete kdelibs que corrige el problema en Konqueror en versiones de KDE anteriores a la 3.1.4, para aquellos que no se hubieran preocupado de ir actualizando sus programas. Compárese la diligencia de Mandrake con la actuación del gigante Microsoft, pese a sus últimos anuncios de que su prioridad es la seguridad de sus usuarios y que han tenido, como todos, casi 8 meses para prepararse.

Microsoft ha publicado tres nuevas vulnerabilidades, sólo dos de ellas son interesantes para los usuarios domésticos. La vulnerabilidad más crítica afecta a Outlook 2002 (correspondiente a la suite Office XP), no me voy a extender porque ya ha sido explicada en Hispasec, sólo añadir a lo allí expuesto, que vuelve a ser ridículamente fácil aprovechar el fallo, basta con crear un enlace mailto que contenga la cadena """ y, a partir de ahí, la imaginación (y los permisos del usuario que pinche en el enlace) es el límite.

La otra vulnerabilidad afecta a las versiones 6.0 y 6.1 de MSN Messenger y, al parecer, no hay parche para ella, es necesario bajar de nuevo el programa completo, eso se desprende del informe técnico, ya que el enlace "Descargar la actualización" te envía a la página de descarga del programa completo, dónde no hay ninguna mención ni a la vulnerabilidad ni a parche alguno. Esta vulnerabilidad permite a los contactos de aquellos que no actualicen, leer cualquier fichero del que se conozca su ubicación (por ejemplo, el fichero de las contraseñas del equipo, que está siempre en el mismo sitio).

Se trata de sendos desbordamientos de buffer que podrían permitir la ejecución de código al intentar abrir un fichero previamente descargado o recibido por correo electrónico. En Winzip las versiones afectadas van desde la 6.2 a la última beta de la 9.0. En Adobe Reader (antes conocido como Adobe Acrobat Reader) es la versión 5.1 la que es vulnerable.

Los detalles de las vulnerabilidades de uno y otro han sido publicadas por Hispasec.

Las soluciones pasan por actualizar a la última versión en ambos casos. La versión 6.0 del lector gratuito de ficheros PDF Adobe Reader puede conseguirse en su página oficial. Winzip 9.0 final (no la beta, que es vulnerable) puede adquirirse igualmente en la página oficial del producto al precio de 29$, salvo aquellos que dispongan de una versión en inglés registrada, que podrán acceder a una actualización gratuita. Para los que no tengan esa suerte, creo que es un buen momento para darle una oportunidad a 7zip (ya he hablado antes de él) que, aparte de ser más eficiente que su alternativa de pago, es libre y gratuito.

Una de las cosas básicas que deben hacerse en cualquier sistema operativo para mejorar su seguridad es asegurarse de que no corren más servicios de los estrictamente indispensables. En Windows XP hay, sin duda, demasiados en funcionamiento en la instalación por defecto, al menos para un uso doméstico. Varios virus y adwares se han aprovechado ya de fallos en algunos de estos servicios, habilitados por defecto, aunque inútiles para la mayor parte de la gente, para funcionar. Recortarlos al mínimo puede ser complicado para un usuario común, primero, porque el asistente que los regula está algo escondido en el panel de control y, segundo, porque en casi todos los casos no está claro que son, ni que hacen, ni para que sirven.

En WinInfo.com.ar hay un tutorial de 4 páginas en el que se explica cada uno de los servicios de Windows XP y cómo deben configurarse según la situación particular del equipo que recomiendo seguir.

Al parecer, el próximo Service Pack 2 para Windows XP reducirá algo el número de servicios que funcionan por defecto y traerá algunas mejoras más en seguridad, pero no hay porqué esperar; por cierto, el Service Pack 2 que corre por ahí es una beta, provoca inestabilidad, errores aleatorios y cuelgues en el equipo en el que se instala. No hay que dejarse llevar por la "versionitis", te puedes cargar tu Windows XP por instalarla. Es mejor esperar a la versión final oficial, que, aún así, no me extrañaría que también diera problemas, va a tocar demasiadas cosas al mismo tiempo y, la última vez que hicieron eso con un parche, tuvieron que sacar un parche para el parche y un parche para el parche del parche.

En VSAntivirus publican Mozilla vulnerable a ataques del tipo "Cross-Domain". En la versión actual de Mozilla ya está corregido (¡Se tardó menos de un día en corregirlo!), aunque no se ha hecho público hasta ahora.

El navegador Mozilla se diseñó con varias capas de seguridad para evitar este tipo de ataques, por lo que explotar la vulnerabilidad en versiones anteriores tampoco es sencillo y requiere cierta intervención del usuario (aunque tampoco mucha, basta con mover el ratón), sin embargo, ya que está disponible el exploit de demostración, puede hacerse uno peligroso con relativamente poco esfuerzo, así que aconsejo actualizar a la última versión por si acaso.

Una de las nuevas vulnerabilidades descubierta en Internet Explorer 6 permite que puedan descargarse, instalarse y ejecutarse troyanos, virus y, en general, cualquier programa, sólo con visitar una página web, sin intervención ni conocimiento del usuario. También permite ejecutar cualquier programa del que se conozca su ubicación en el disco duro del cliente de forma remota.

La segunda vulnerabilidad permite hacer lo mismo que la anterior, aprovechando dos bugs conocidos y antiguos (más de un año) de IE que nunca han sido arreglados. Necesita también de otra aplicación que guarde información que más tarde ejecutará en un lugar y con un nombre predecibles. La lista de aplicaciones que se sabe que pueden usarse de esta manera incluyen WinAmp, Macromedia Flash Player, ICQ, AIM y, probablemente, otros clientes de mensajería instantánea.

Incluso con la protección de un antivirus actualizado y un firewall, estas dos vulnerabilidades podrían permitir a un atacante habilidoso tomar el control del equipo e instalar en él cualquier tipo de servicio o herramienta, haciéndolos funcionar sin el conocimiento del usuario.

Aconsejo instalar y comenzar a usar otro navegador de forma inmediata y, en el caso de se disponga de un firewall personal, denegar el acceso a la Red a Internet Explorer y levantar esta prohibición solamente para las visitas a Windows Update.

Microsoft ha reconocido que entre el código filtrado de Windows 2000 se encuentra la mayor parte del código de Internet Explorer 5.x, por lo que lo consideran no seguro y aconsejan la actualización inmediata (con buenas razones, a los dos días de filtrarse el código, ya se le ha encontrado un fallo de seguridad a esa versión de IE). La actualización podría muy bien no ser suficiente en fechas próximas, pues se conocen otros fallos del navegador (no agujeros de seguridad propiamente, pero sí otros que permiten colgar el navegador, abrir otras aplicaciones remotamente, etc.) que han pasado sin arreglar de una versión a otra, por lo que, aunque éste primero no afecte a IE6, otros que le sigan sí podrían hacerlo. Además, por mucho que digan que IE6 es, al menos, tan seguro como cualquier otro navegador de los que existen actualmente, debería ser evidente para cualquiera que ésto no es cierto y, menos todavía, porque le han arreglado ya muchos fallos. Lo importante no es cuantos fallos le han arreglado, sino los que quedan por arreglar que son de dominio público.

Por último, quiero hacer notar que, el hecho de que el código de un programa sea conocido, no es motivo para considerarlo inseguro; si está bien hecho, da igual que esté a la vista de todos. El código de Mozilla y de Firefox es público desde el primer momento, y son, probablemente, los navegadores más seguros hoy día.

Según OSSecurity mediante un ataque conocido como "DLL Proxy" todo lo que Internet Explorer envía (contraseñas, números de cuenta...) durante una sesión segura (https://), como es habitual en las conexiones con bancos, medios de pago electrónicos e identificación de acceso a cuentas de correo, puede ser leído y almacenado en texto plano para ser recuperado por el atacante posteriormente. El resultado sería similar a instalar un keylogger, pero más cómodo, pues encontrar algo útil entre los registros de un keylogger puede ser una tarea pesada, que se simplificaría enormemente usando este método.

Aunque es IE el que desde ahora permite explotar la vulnerabilidad, ésta (conocida como "DLL Injection") existe en todos las versiones del sistema operativo de Microsoft desde Windows 95, como llevan años denunciando en Nautopia.

En Windows 95, 98, ME y XP (éste último sólo si se usa FAT como sistema de archivos) la única forma de evitar este tipo de ataque es usar otro navegador para las transacciones que se lleven a cabo bajo conexión segura.

En Windows NT, 2000, XP (si usa NTFS como sistema de archivos) y 2003 puede dificultarse el ataque usando una cuenta de usuario distinta de la de administrador para navegar por Internet. Digo dificultar y no imposibilitar, porque podrían usarse otras vulnerabilidades para conseguir privilegios de Administrador o Sistema, por lo que el filtro ACL que proporciona NTFS no serviría para nada. Lo más seguro es usar otro navegador, si bien la precaución adicional de usar una cuenta sin privilegios para navegar es buena idea.

Microsoft fue informada de la vulnerabilidad (DLL Proxy) en diciembre del año pasado y se ha hecho pública al no haber respuesta del fabricante hasta el momento.

Según VSAntivirus el navegador Opera también sería vulnerable a la falsificación de la verdadera extensión de los ficheros a descargar.

Las soluciones para evitar caer en el engaño, por tanto, son las mismas que en el caso de Internet Explorer, mientras sale un parche o una nueva versión que arregle el fallo. Si se sigue usando Opera (o IE), no elegir nunca abrir en el cuadro de diálogo de descarga, en su lugar descargar todos los ficheros y verificar que no hay un CLSID en el nombre del archivo descargado antes de abrir un programa que pueda leer el fichero.

Las usuarios de Opera sobre otro sistema operativo distinto de Windows no tienen nada que temer de éste bug, pues no puede explotarse sin combinarse con la vulnerabilidad del Explorador de Windows que afecta al manejo de los ficheros descargados cuando una de las extensiones viene especificada con un CLSID.

Otra solución es usar el navegador Mozilla u otro basado en él.

Me entero leyendo Denken Über de que en esta nota de Neowin se afirma que se ha filtrado código de Windows 2000 y Windows NT. Tambien se habla de ello en este hilo de Slashdot. El archivo comprimido con el código puede encontrarse en la red eDonkey.

Si realmente resulta ser parte del verdadero código de Microsoft, en pocos días puede haber novedades (y vulnerabilidades) interesantes. El código de Windows es su mayor valor, y se mantiene secreto. Las posibilidades de que sea ciertamente el código real son altas, pues Microsoft no hace mucho, comenzó a relajar su política a este respecto y ha ido mostrando partes de su código a varios gobiernos que empezaban a pensar en el software libre y, como decía hace un rato si un secreto es conocido por muchos, antes o después, deja de ser secreto.

Actualizado

Sólo mirar la lista de los ficheros filtrados impresiona. Por los nombres de ficheros y directorios, habría código del kernel, de IE, de Windows Media, de MS Access, del Explorador de Windows (que también es la shell del sistema operativo)...

Segunda actualización

Es oficial. El código es auténtico.

En estos días en los que el spoofing está de moda (tenemos el URL spoofing que acaba de arreglarse en Internet Explorer y la falsificación de la verdadera extensión de los archivos que sigue sin arreglar), a Don Park se le ha ocurrido otra forma de hacerlo. Su idea consiste en nada más y nada menos que sustituir toda la interfaz del navegador por imágenes (incluida la barra de direcciones, claro, en la que puede "dibujarse" cualquier dirección que se desee).

Todo el mundo ha visto abrirse páginas en las que la interfaz del navegador (con su menú y sus botones de atrás y adelante) y la barra de estado no aparecen, pues es un truco muy sencillo de javascript, que se usa, sobre todo, en las pop-ups. Partiendo de ésto, se añaden imágenes que las imiten y, en medio, se pone la copia de la página que se pretende falsificar. Otro javascript, el que se usa para identificar el navegador, sistema operativo y resolución de pantalla que está usando el visitante, completa el truco, presentando distintas imágenes atendiendo a estas tres variables.

En principio, ésto puede conseguirse en cualquier navegador, pero aquellos que soportan temas y/o son personalizables son imposibles de falsificar por este método, a no ser que se esté usando el tema por defecto y no se hayan hecho otros cambios. Así, tenemos que, nuevamente, Internet Explorer es el más vulnerable a un truco como éste (la única manera de personalizar el interfaz de IE es a través de pequeños hacks en el registro de Windows, que, mucho me temo, están fuera del alcance y/o interés del usuario medio).

Como muestra, ha preparado esta página en la que puede verse el resultado (Nota: el segundo javascript del que hablo no se ha incorporado al ejemplo, así que en él sólo se simula IE 6.x sobre Windows XP).

Ésto no es, desde luego, un fallo de seguridad y, para evitarlo, habría que recortar (con un parche o una nueva versión) lo que puede hacerse con javascript sobre las ventanas en todos los navegadores (soy partidario de ello, siempre me ha parecido intrusivo que un webmaster pueda decidir a qué partes de la interfaz de mi navegador tengo acceso en sus páginas). Pero, desde luego, alguien podría ser engañado de esta forma para entregar sus contraseñas o números de tarjetas de crédito, pensando que está en una página confiable.

Vía Otro blog más, en esta entrada, me entero de que la misma empresa de seguridad (eEye, famosa por su scanner de vulnerabilidades Retina) que ha descubierto la vulnerabilidad de la que hablaba ayer tiene otros siete más en la recámara, esperando a que Microsoft tenga parche para ellos para hacerlos públicos. Tres de ellos, tienen asignado un nivel de gravedad alto, de lo que se deduce que permiten ejecutar código de forma remota; el más antiguo fue comunicado a Microsoft hace más de tres meses. En esta página se presentan los fallos y su antigüedad de una forma muy gráfica.

Esto no tiene demasiada importancia para los usuarios, siempre que quede entre Microsoft y eEye y nadie más descubra los mismos bugs, pero debería ser preocupante para toda empresa que tenga secretos guardados en sus ordenadores y use el software de los de Redmond, pues ya no sólo tiene que confiar en el vendedor del software sino también en una empresa de seguridad privada, su plantilla y sus colaboradores. Si los secretos los conoce demasiada gente, ya no son secretos.

Si al menos se supiera en que consisten los fallos, se podrían tomar medidas contra ellos, pero gracias al modelo de seguridad por la oscuridad (lo que nadie conoce no puede hacerte daño) de Microsoft y el resto de empresas fabricantes de código cerrado, sus clientes están vendidos y dependen de que a nadie que conozca el bug se le ocurra explotarlo en una de sus máquinas.

Ya han salido los parches de este mes de Microsoft, entre ellos, uno que soluciona un bug que permitiría a un atacante

...ejecutar código con privilegios del sistema en un equipo afectado. De esta forma, podría realizar cualquier tipo de acción en el sistema como, por ejemplo, instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los privilegios.

según el Boletín de Seguridad correspondiente. Los privilegios de sistema son los más altos que pueden conseguirse en un sistema Windows, por encima de los de Administrador.

El fallo afecta a todas las versiones de Windows NT, 2000, XP y 2003 Server. Aprovechando ésto podría crearse un gusano tipo Blaster, es decir, que fuese suficiente con estar conectado para infectarse; es lo bastante grave para recomendar la actualización inmediata.

No me gusta hablar de virus, más que nada, porque la gran mayoría de ellos no tienen el menor interés y habría muy poco de que decir acerca de ellos. Esta gran mayoría de la que hablo, a la que Mydoom pertenece, no tienen ningún peligro si no se ejecutan. Sobre cómo evitar que te engañen para ejecutarlos sí se puede escribir un artículo, pero es que ya lo he hecho y no me apetece repetirme con lo mismo cada vez que sale uno de éstos (tendría que publicar 3 ó 4 veces al día).

De todas formas, para paliar un poco los efectos de los medios de desinformación y algunos rumores que circulan por ahí, voy a recomendar una recopilación de VSAntivirus que despeja algunas dudas y confusiones: Cuentos y verdades sobre el Mydoom.

Rompiendo la norma de publicar los parches el segundo martes de cada mes, Microsoft ofrece un parche acumulativo para Internet Explorer que corrige tres vulnerabilidades, dos de ellas ya conocidas y comentadas.

La desconocida está en el manejo de eventos de DHTML y permite descargar un archivo al disco duro, en la ubicación que el atacante decida, sin que el usuario reciba notificación alguna, simplemente pinchando un enlace especialmente construido al efecto. El archivo no se ejecuta. También puede aprovecharse a través de Outlook y Outlook Express, ya que usan IE para mostrar los correos en HTML. De hecho sería más fácil explotarlo así, pues el texto del e-mail podría tratar de convencer al usuario de que ejecutase el archivo.

Otro de los bugs que elimina es uno de éstos cinco. Cómo era necesario usar los cinco en conjunto, de momento, queda resuelta esa vulnerabilidad, pero hay que tener en cuenta que cualquiera de los otros cuatro que no se arreglan podría volver a ser peligroso en un futuro.

El tercero es el que más gracia me ha hecho. El fallo que corrige es el famoso URL spoofing que se usó en el intento de estafa a los usuarios del Banco Popular. Para corregirlo, se han cargado el estándar de construcción de URLs. Así, si escribimos en la barra de direcciones (o pinchamos en un enlace con) una URL completa (que son del tipo http(s)://usuario:contraseña@servidor), IE nos mostrará un mensaje como éste:

Error: Sintaxis no válida

Pues nada, si Microsoft lo dice, pues el estándar no es válido. Normalmente, la parte usuario:contraseña@ no se visualiza en los navegadores modernos y no se usa mucho en la navegación normal. Aun así, es necesaria en algunas descargas a través del protocolo HTTP (en este caso, el navegador debe completar lo necesario de forma automática, por lo que IE fallará a partir de ahora), para identificarse en algunas listas de correo vía web y es un pilar básico del diseño de bastantes intranets.

También han publicado un documento con alternativas para solucionar que el navegador ya no sea capaz de autenticarse. En este artículo es divertido ver como en la parte del usuario se dice que no hay de qué preocuparse ya que ahora el navegador pedirá nombre de usuario y contraseña de forma automática, mientras que, en la parte servidor, se explica cómo debe hacerse para que este "automatismo" sea posible. Es necesario añadir un par de comandos en el código de la página en que sea necesario autentificarse, pero ésto sólo funcionará con el servidor web de Microsoft y sólo para IE en la parte cliente. Menos mal que también citan que puede hacerse a través de cookies, aunque, en este caso, la solución propietaria no sería excluyente, porque el resto de navegadores sí son capaces de autenticarse normalmente.

Pese a lo excepcional de la publicación de este parche, no han cumplido con lo de publicar en cuanto estuviesen disponibles, ya que se han entretenido en ponerlos en un paquete de "sólo" 3MB.

Se llama ingeniería social a toda técnica cuyo propósito sea engañar a un usuario para que facilite contraseñas u otra información delicada, o bien conseguir que ejecute un archivo que dé el control del equipo al ingeniero. Es decir, aprovechar las debilidades de las personas en lugar de las del software.

La definición de arriba no quita que fallos en algunos programas, aunque no se les pueda llamar fallos de seguridad con propiedad, sí pueden facilitar esta tarea. Como ejemplos pueden valer perfectamente la existencia de la extensión .Folder de la que hablaba ayer o el URL spoofing en Internet Explorer que aún sigue sin arreglar.

Bueno, pues hoy me toca hablar de otro de éstos. No es más que una pequeña variación de un antiguo fallo (del 2001) que ya dió origen a al menos un virus.

Para aprovechar el fallo se añade al nombre de un archivo un número del tipo {3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}, que es lo que se llama un CLSID, los sistemas operativos Windows los usan, junto con otros métodos, para saber de qué tipo es un archivo. El bug antiguo, sin solucionar en IE, como puede verse, era que ni Internet Explorer ni el Explorador de Windows mostraban el CLSID. Así un archivo llamado soyinofensivo.txt{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B} se mostraba como soyinofensivo.txt, cuando el CLSID indica que es un ejecutable (y, de hecho, un doble-click lo ejecuta). Este fallo se corrigió en el Explorador de Windows, pero no en el navegador.

La pequeña variación consiste en llamar a un archivo, por ejemplo, documento.{3050f4d8-98B5-11CF-BB82-00AA00BDCE0B}%2Epdf, el navegador mostrará, tanto en la barra de direcciones como en el dialogo de descarga documento.pdf (hay una prueba de concepto operativa de ésto en Secunia). El peligro reside precisamente en el diálogo de descarga, que nos ofrece descargar a disco o abrir; si se elige abrir, el IE le pasa el control al Explorador de Windows que mira el CLSID, ve que es ejecutable y lanza un programa para abrirlo. Este programa debería ser, si realmente fuese un .pdf, Adobe Acrobat Reader, pero como no lo es, lo que en realidad se abre es el mshta.exe. Sobre lo que puede hacerse conjugando mshta.exe y el archivo descargado (adelanto que es practicamente cualquier cosa), en VSAntivirus está muy bien explicado.

Este, además de facilitar la ingeniería social, es un buen ejemplo de como combinando pequeños fallos en unos y otros programas de Microsoft (que no sólo están en todas las instalaciones, sino que tampoco pueden ser desinstalados, lo que hace muy grande el conjunto de usuarios expuestos) y que llevan mucho tiempo sin arreglarse por considerarlos "no peligrosos" se pueden conseguir cosas que no pueden calificarse como "no peligrosas".

No entiendo nada. ¿Qué razón puede haber para que exista una extensión .Folder en los Windows XP que tenga asociado el icono de una carpeta? Salvo conseguir que algo que no sea una carpeta, aparezca como una carpeta, no se me ocurre ninguna. Pero la extensión existe.

Cualquier archivo con la extensión .Folder en Windows XP se presentará con el icono de una carpeta. A http-equiv al darse cuenta de ello, se le ocurrió coger un inocente archivo HTML como ésta misma página, por ejemplo, y cambiar la parte de .html por .Folder. El explorador de Windows muestra ahora el icono de una carpeta. Si se hace doble-click en la "carpeta" ¿qué ocurre? Pues que se abre Internet Explorer y muestra la página web. Hasta aquí, quitando la incomprensible aparición del icono de la carpeta, todo normal y sin peligro. Ahora le añadimos algo de Visual Basic Script de ese que sólo entiende el IE al HTML y un control ActiveX. Hacemos doble click otra vez, la página se muestra y el control ActiveX se ejecuta.

Para quién aún no vea el peligro, ejemplo al canto, ponte en situación, estás chateando tranquilamente con alguien, y te envía un archivo comprimido, Mis-Fotos.zip, abres el archivo y dentro hay una carpeta Mis-Fotos, haces doble click y se abre el Internet Explorer. Ahora pueden ocurrir dos cosas: una, el IE muestra una página en blanco mientras se va borrando todo el contenido del disco duro; dos, el navegador muestra una página web con fotos mientras se instala, sin que sospeches nada, un troyano que le da control completo sobre tu equipo a la persona con la que chateabas.

Soluciones: desactivar los controles ActiveX en Internet Explorer (vienen activados de serie), tener otro navegador configurado para ser el de preferencia.

Posibilidad de que aparezca un parche para ésto: Muy remota. Ya que es algo nuevo, propio de Windows XP, no creo que se lo replanteen y eliminen esa extensión especial.

Casualidades de la vida: Pese a todo, hay quien piensa que es buen momento para vender carpetas nuevas de Windows XP.

Mucho cuidado con las "carpetas" ahí fuera.

A petición de VSAntivirus para su Especial: Seguridad para redes y equipos caseros, maty hace un recopilatorio de consejos y programas útiles para la seguridad de un equipo casero, a la par que va resumiendo lo que han hecho en el 2003 en NAUTOPIA. Por en medio, deja caer que pronto lo veremos usando Movable Type. Buena noticia. Ah, y el artículo es lectura obligada para los usuarios de Windows.

Rafel Ivgi (The-Insider), que en su página afirma tener 17 años y buscar trabajo como Security Researcher, ha inundado en los últimos dos o tres días la lista de correo de BugTraq (SecurityFocus) con más de una decena de nuevas "vulnerabilidades" que él mismo ha descubierto en distintos programas.

En Internet Explorer había "descubierto" tres nuevas vulnerabilidades, una de las cuales no tenía ni pies ni cabeza (ni ningún efecto, por otra parte), otra que ha resultado ser un pequeño bug conocido del servidor web Apache y una tercera que no era más que una forma, eso sí, bastante creativa, de acabar con la memoria disponible del sistema, a través de IE y Outlook Express, pero sin ningún peligro para los datos o la seguridad del sistema (aparte de obligar a estos dos programas a cerrarse cuando se acaba la memoria, claro).

Imagino que, poco a poco, se irá descubriendo que el resto de las vulnerabilidades publicadas tampoco son tales, en vista de lo que ha publicado hoy. Afirma que gracias a un fallo en el servidor del troyano NetBus, cualquiera podría subir y ejecutar archivos en la máquina infectada por el troyano y hacerse con el control de la misma. Efectivamente, ocurre así, pero es que un gran número de troyanos (NetBus entre ellos) están programados para permitir precisamente eso, luego no hay ningún error en el programa, hace exactamente lo que se espera de él, aunque, claro está, estos programas son una amenaza para la seguridad, pero eso no es ninguna noticia.

Todo esto podría parecer divertido, pero deja de serlo cuando distintas páginas de noticias de seguridad que normalmente se nutren de BugTraq o otras listas de correo similares están cayendo en el engaño y publicando las burradas que suelta este chaval.

VSAntivirus ha tenido que retractarse hoy de lo que publicaba ayer, la noticia se obtuvo de Rynho Zeros Web donde se publicó en castellano el mensaje original envíado a la lista; también han tenido que rectificar. También he visto otras "vulnerabilidades" publicadas por The-Insider en otras páginas de noticias, como SecurityTracker, pero éstas aún no han sido confirmadas ni desmentidas por nadie. Aparte de ponerse en ridículo, el muchacho está consiguiendo manchar la buena fama de BugTraq y poner en duda la credibilidad de unas cuántas páginas de noticias que, al menos, están rectificando rápidamente.

Microsoft ha publicado puntualmente los parches de enero, tras su falta a la cita de diciembre. Son tres los parches publicados, sólo uno de interés para los usuarios comunes.

Ninguno de ellos cubre las recientes vulnerabilidades de Internet Explorer, ni ninguna de las que se arrastran de meses anteriores, pese a que están siendo explotadas (lo que es lógico, ya que se está dando muchísimo tiempo para hacerlo) y generando cierta alarma. Habrá que esperar a ver si este mes se lanza algún parche de forma especial o hay que esperar otro mes entero. Mi recomendación sigue siendo cambiar de navegador para evitarse sustos.

Al menos una empresa antivirus ha incluido los caracteres especiales que hay que añadir a un enlace para aprovechar la vulnerabilidad que permite cambiar la dirección de la página que estamos viendo (la que se usaba en el caso del intento de estafa a los clientes del Banco Popular) a sus ficheros de firmas. Esto significa que un correo electrónico que contenga un enlace construido para aprovechar esta vulnerabilidad hará saltar este antivirus (siempre que este actualizado y correctamente configurado, claro).

El parche que me interesa destacar es el que afecta a MDAC, un conjunto de componentes para proveer al sistema operativo de interoperatividad con distintas bases de datos. Una aplicación que el usuario de un PC doméstico difícilmente echaría de menos si no estuviese (aunque no dudo de su utilidad en entornos de oficina y pequeñas redes) pero que se instala por defecto en Windows 2000 y Windows XP. Algunos programas, especialmente pequeñas aplicaciones (o extensiones de otros programas) desarrolladas en Visual Basic (otro producto Microsoft) pueden requerir su instalación para funcionar (o el mismo instalador podría contener MDAC e instalarlo), así que todos los usuarios de un sistema operativo Windows, no importa su versión, deberían visitar Windows Update para comprobar si necesitan el parche.

La vulnerabilidad que corrige es un desbordamiento de buffer bastante complicado de explotar (incluso sería necesaria cierta colaboración por parte del usuario), pero no está de más actualizar y aplicar el parche porque, aunque ahora no pueda hacerse nada peligroso con él en la práctica, siempre se corre el riesgo de que aparezca otra vulnerabilidad que permita aprovechar ésta de forma sencilla conjugando ambas. En Internet Explorer, que siempre tiene varias vulnerabilidades sin corregir, han sido varias las ocasiones en las que, partiendo de varias vulnerabilidades sin riesgo inmediato se ha hallado un método para combinarlas de un modo realmente sencillo y peligroso para el usuario final.

Por terminar con una buena noticia, Microsoft también ha anunciado que ampliará el soporte para Windows 98 (que hubiera perdido el soporte este mismo mes) y para Windows ME (que hubiese terminado a final de año) durante, al menos, otros dos años, por lo que seguirá publicando, siempre que lo crea necesario, parches de seguridad para estos dos sistemas operativos durante ese período.