Daboweb | Seguridad y ayuda informática |

Si hace unos días nos hacíamos eco del lanzamiento de la versión 6 de Firefox, hoy el protagonista es el cliente de correo de Mozilla. Esta disponible Thunderbird 6 en su versión final para Windows, GNU/Linux y Mac OS X.

Según podemos leer en la lista de cambios (changelog), las mejoras y correcciones que incorpora son las siguientes;

Se basa en Gecko 6 como nuevo motor de renderizado (se presupone más velocidad)
Se introducen mejoras en los efectos visuales en Windows 7.
Siguiendo con Windows 7, ya hay soporte para las «Jump Lists».
Ahora la importación desde Outlook es mejor. Se han realizado varias correcciones de errores
EN GNU/linux será más fácil realizar la verificación de cliente predeterminado de correo.
Anuncian mejoras a nivel general en velocidad, estabilidad y seguridad.

Acceso a la sección de descargas de Mozilla Thunderbird.

Realmente no sé el tipo de respuesta que podría dar Apple a esta cuestión. Un sistema que presume de unos niveles de seguridad más que aceptables y hablando de Mac OS X Lion, se ha comentado mucho este aspecto (las mejoras en cuestiones de seguridad), no debería venir con el Firewall de aplicaciones que incorpora desactivado por defecto (algo que sucede también en Leopard o Snow Leopard).

Cierto es que «de serie», es un sistema bastante seguro, pero este hecho en mi opinión, le resta muchos puntos. Si la explicación es que al usuario «clásico» de OS X le molestan los avisos puntuales que puede dar el sistema sobre conexiones entrantes o salientes, me parecería una excusa un tanto «pobre», ya que los tiempos están cambiando y no se puede negar una clara evidencia. Las amenazas que giran en torno a nuestros equipos (sea el sistema operativo que sea) son cada vez mayores.

Quizás en su defecto, no estaría mal algún tipo de aviso para que el usuario recordase (al estilo de Windows y su «Centro de Seguridad») los niveles de protección actuales del sistema. Junto al Firewall, un complemento como «Little Snitch» puede ser lo ideal para aumentar la seguridad de vuestras conexiones de red.

¿Cómo activar el Firewall de aplicaciones en OS X 10.6 y superiores?

1. Selecciona Preferencias del Sistema en el menú Apple.
2. Haz clic en Seguridad.
3. Haz clic en la pestaña Firewall.
4. Desactiva el panel haciendo clic en el candado de la esquina inferior izquierda
5. introduce el nombre de usuario y la contraseña del administrador.
6. Haz clic en Inicio para activar el firewall.
7. Haz clic en Avanzado para personalizar la configuración del firewall.

Más información y otras versiones en el sitio web de Apple.

Tras el abandono de OpenOffice por parte del gigante informático Oracle y la creación de un fork libre por parte de la mayoria de su comunidad de desarrolladores, el trabajo realizado en esta nueva versión de esta suite ofimática ya está dando los frutos que se esperaban. Acaba de salir la versión 3.4.2 en la que se han dado solución a diversos fallos encontrados en versiones anteriores, tanto para Windows como para GNU/Linux, aunque desde la página de proyecto se nos avisa de que aun existen bugs conocidos que no cuentan hasta el momento con solución, aunque a buen seguro pronto contaremos con una nueva entrega de LibreOffice libre de estos errores.

Os dejamos también este enlace al wiki del proyecto, donde hay abundante información acerca de los arreglos realizados hasta ahora en la versión 3.4.2 de esta gran y utilizada suite ofimática. Como podemos observar, la comunidad de desarrolladores del software libre continua con su trabajo incluso ante adversidades como la que en su dia supuso el antiguo OpenOffice.

Aún sin el anuncio oficial por parte de Mozilla, nos enteramos vía el blog del amigo Gregorio Espadas, que ya están disponibles a través de descarga por FTP las versiones finales en castellano de Firefox 6 para Windows, GNU/Linux y Mac OS X.

Enlaces directos a las descargas; (idioma es-ES);

Windows | GNU/Linux 32 bits – 64 bits | Mac OS X.

Otros idiomas y novedades (Más que recomendable acceder) en gespadas.com.

Actualización, esta entrada es portada en Menéame, ¿el mérito? de Gregorio Espadas -;).

Para este Viernes, os recomendamos leer este interesante documento en formato PDF creado por el INTECO-CERT sobre los riesgos y amenazas del «Cloud Computing» (computación en la nube).

Puede que hayas leído estos pasados días mucha información sobre la caída de Amazon EC2 (podcast especial en Daboblog sobre Amazon EC2 con Ricardo Galli y Raúl Naveiras) en Europa debido a un fallo de hardware (provocado por un rayo) o que estés pensando en migrar tu proyecto web a un proveedor de hosting bajo este tipo de infraestructura, o quizás quieras ampliar conocimientos sobre este tipo de tecnología.

Sirva esta introducción como aperitivo de lo que encontrarás en la guía;

En la actualidad una de las tendencias del mercado de los sistemas de información es la proliferación de los servicios operando en la nube, los cuales son servicios que permiten la asignación dinámica de recursos en función de necesidades de los clientes y que aportan una reducción de costes en infraestructuras considerable. […]

Este no es el único documento que refleja la creciente preocupación por la seguridad en estas plataformas, como se refleja en documentos de entidades de referencia que también abordan este tema.

El informe siguiente resume algunos de estos documentos con el propósito de facilitar una visión general de amenazas, riesgos y aspectos a considerar en la seguridad en cloud.
Este informe realiza, en primer lugar, una descripción de los tipos de infraestructuras y servicios cloud para, a continuación, abordar los distintos elementos que han de tenerse en cuenta para abordar su seguridad, según el citado documento del NIST e informes recientes de la organización internacional CSA (Cloud Security Alliance) y de la consultora Gartner.

Las preocupaciones que derivan de estos informes se centran en aspectos la gestión de los datos, fundamentalmente en la propiedad de los mismos y la forma de operarlos y tratarlos por parte de los proveedores, así como en la identificación y control de acceso a los recursos.

Descarga en PDF de la guía sobre «riesgos y amenazas del Cloud Computing».

Tal y como se lee en el título de la noticia, Microsoft ha puesto a disposición de los usuarios 13 boletines de seguridad que solventan un total de 22 vulnerabilidades en productos como; Internet Explorer, Microsoft .NET Framework, Microsoft Developer Tools, Microsoft Office y Microsoft Windows.

Desde Microsoft, Angela Gunn, obviamente insta a parchear en primer lugar las dos vulnerabilidades catalogadas como críticas y que afectan a Internet Explorer (MS11-057) donde el parche más serio es el que corrige la posibilidad de ejecución remota de código viendo una web especialmente manipulada para tal fin.

La otra afecta a DNS Server (MS11-058), donde el bug más importante que se ha corregido también impide la ejecución remota de código, si un atacante envía una consulta especialmente manipulada «Naming Authority Pointer» (NAPTR) al servidor DNS.

Más información en Microsoft sobre todos los parches y productos afectados.

Adobe acaba de publicar múltiples parches para sus productos; FlashPlayer, ShockwavePlayer, FlashMediaServer, Photoshop CS 5 y RoboHelp que vienen a solventar varias vulnerabilidades, siendo catalogadas por el fabricante como «críticas» por lo que es más que recomendable su inmediata actualización.

Para ver el impacto sobre el sistema además de los detalles de los bugs solventados por las nuevas versiones, a continuación los enlaces a la información original de Adobe; (En Inglés)

• APSB11-19 – Security update available for Adobe Shockwave Player (Critical Severity)
• APSB11-20 – Security update available for Adobe Flash Media Server (Critical Severity)
• APSB11-21 – Security update available for Adobe Flash Player (Critical Severity)
• APSB11-22 – Security update available for Adobe Photoshop CS5 (Critical Severity)
• APSB11-23 – Security updates available for RoboHelp (Important Severity)

Las vulnerabilidades afectan según el software a Windows, GNU/Linux y Mac OS X.

La vulnerabilidad y el exploit han sido reportados desde http://0verl0ad.blogspot.com/ (con créditos hacia http://xd-blog.com.ar y portalhacker.net) afecta al sistema de foros SMF 2.0. El asunto es serio, ya que puede desde afectar a usuarios con privilegios administrativos, así como al staff de moderación.

Destacar el gran trabajo que se ha hecho, publicando además del exploit, la solución para paliarlo, junto a una explicación acerca de cómo funciona el robo de «Tokens» y cómo se explota una vulnerabilidad de este tipo.

La solución;

Comenta o elimina las lineas 104 y 105 de /Sources/Subs-Menu.php, esto palía el problema y todo sigue funcionando:

Código;(Líneas 104 y 105).

/////////////////////////////////////////////////////
if (empty($menuOptions[‘disable_url_session_check’]))
$menu_context[‘extra_parameters’] .= ‘;’ . $context[‘session_var’] . ‘=’ . $context[‘session_id’];
/////////////////////////////////////////////////////

Más información y fuente, en exploits-db.

Para los que quieran estar más al día en actualizaciones de programas anti-espía o anti-malware (malware = software malicioso), os recordamos que desde hace años, en este filo de nuestro Subforo de Seguridad, nuestro compañero y redactor Liamngls (también de Manuales-e.com) va recopilando las nuevas actualizaciones de programas como;

Ad-Aware, SuperAntiSpyware, Spybot, SpywareBlaster, etc.

Sobra decir que la eficacia de un programa de este tipo, como sucede con cualquier antivirus, está en que se mantenga correctamente actualizado. Por lo que si estás preocupado por la seguridad de tu sistema y usas alguno de esos programas, no olvides consultarlo.

Tutoriales relacionados;

Tutorial de Ad-Aware | Tutorial de SuperAntiSpyware | Tutorial de Spybot | Tutorial de SpywareBlaster.

Otros tutoriales en Daboweb.

Entrada meramente informativa para comentaros que ya está de nuevo activa nuestra página de Facebook después de un tiempo inactiva por cuestiones técnicas.

Por lo que además de visitar nuestra portada, seguirnos vía RSS, también puedes hacerlo en facebook.com/Daboweb siguiendo el día a día de nuestras publicaciones. Obviamente, ahí está nuestro foro para cualquier duda técnica que te pueda surgir.

Y cada sois más los que os ponéis al día de la web a través de Twitter, os recordamos que la dirección es http://twitter.com/daboweb.

El equipo de desarrollo de Coppermine acaba de publicar una actualización de su sistema de galerías (versión 1.5.14) que viene a solventar una serie de arrores de impacto catalogado como «menor» para el CMS.

A su vez, informan de que si se está usando una versión 1.5.12, la actualización no sería necesaria (aunque recomendable en todo caso), pero si la versión es anterior a la 1.5.12, entonces sí sería de urgencia el upgrade por el impacto de cara a la seguridad que conlleva.

La info original y todas las mejoras. Link a la descarga. Tutorial actualización Coppermine.

Un mes más, os recomendamos el recopilatorio de entradas publicadas en Daboweb en Julio de 2011, por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivo de contenidos publicados).

Julio de 2011; (delante el día de su publicación).

• 30: Drupal 7.7 actualización de seguridad
• 29: Rogue o Falso antivirus ESET Antivirus 2011
• 29: Liberado Kernel Linux 3.0
• 25: Grave vulnerabilidad en Foxit Reader, visor pdf
• 21: Posibles versiones troyanizadas de CamStudio
• 21: Liberadas actualizaciones de seguridad de Oracle, Julio 2011
• 21: Google nos avisará de posible malware en nuestros equipos mientras realizamos una búsqueda
• 20: [Breves] Múltiples vulnerabilidades en el navegador web Apple Safari para Mac OS X y Windows
• 20: Ya está disponible para su descarga vía la App Store Mac OS X “Lion”. Las novedades.
• 17: Protocolo SSL, Intypedia
• 16: [Breves] Disponible PuTTY 0.61
• 16: Grave vulnerabilidad XSS en Skype
• 16: Revista gratuita fotográfica Foto DNG 59, julio 2011
• 13: [Breves] Actualización menor de WordPress. Disponible la versión 3.2.1
• 11: Foros phpBB 3.0.9, descarga disponible
• 09: Ubuntu 11.10 Alpha 2
• 05: ¿Estás preparado para WordPress 3.2? ¿Y tu servidor web? WordPress 3.2 ha llegado, las novedades.
• 03: En libertad con cargos Teddy Bautista
• 02: Precauciones informáticas para las vacaciones de verano