Daboweb | Seguridad y ayuda informática |

Se ha liberado la versión 2.0.172.43 de Google Chrome que entre otras, solventa una vulnerabilidad catalogada como crítica en un navegador que cada vez va adquiriendo más cuota de mercado, siendo por tanto más que aconsejable su inmediata actualización.

El bug parcheado evitaría un ataque sobre el motor de Javascript V8, que podría permitir a una página web manipulada, leer la memoria sin pasar por los controles de seguridad. Esto podría permitir a un atacante ejecutar código arbitrario o revelar datos no autorizados.

Más información en Google Chrome Releases.

Se ha liberado la versión 2.0.172.33 de Google Chrome y según nos informan desde el blog de Chrome, solventa una vulnerabilidad catalogada como crítica en un navegador que cada vez va adquiriendo más cuota de mercado, siendo por tanto más que aconsejable su inmediata actualización.

Concretamente, el bug parcheado se trataba de un desbordamiento del búfer procesando respuestas HTTP debidamente manipuladas para tal fin. Esas peticiones recibidas de un servidor web podían llevar a cerrar el navegador y en el peor de los casos permitían a atacantes remotos ejecutar código arbitrario en el sistema afectado.

Más información en Google Chrome Releases.

Se han reportado dos vulnerabilidades en el navegador Google Chrome explotables remotamente y consideradas como críticas. Una de ellas se da en el motor gráfico Skia 2D (integer overflow error) pudiendo llevar a la ejecución arbitraria de código visitando una página especialmente manipulada para ese fin.

El segundo bug viene dado por fallos de validación de entrada en procesos de renderizado en las pestañas del navegador con el resultado de ejecución arbitraria de código además de un mal funcionamiento del navegador del sistema afectado.

Estas vulnerabilidades se han reportado en las versiones anteriores a la 1.0.154.64 . La solución pasa por instalar dicha versión (1.0.154.64).

Vía Vulpen | Fuente y más info.

Roi Saltzman del IBM Rational Application Security Research Group ha reportado una vulnerabilidad en Google Chrome que afecta a la versión 1.0.154.55 y anteriores considerada como de riesgo moderado.

Este bug podría permitir a atacantes remotos saltarse las restricciones de seguridad y conseguir información sensible del sistema afectado. El falllo es provocado por un error en el tratamiento de «ChromeHTML» URI pudiendo provocar la enumeración de archivos del usuario o listado de sus directorios así como una ejecución arbitraria de código.

Curiosamente al igual que ha sucedido en alguna ocasión con Firefox, la explotación de la vulnerabilidad viene en combinación de la visita a una web maliciosa utilizando Internet Explorer.

La solución pasa por actualizar Google Chrome a la versión 1.0.154.59. Fuente Vulpen | Más info.

Por David Hernández (Dabo).

Una de las brechas de seguridad más frecuentes en el tráfico web, suele ser la conexión a lugares donde se almacena información sensible sin establecer dicha conexión bajo una capa de cifrado, es el caso de las cuentas de Gmail con su configuración por defecto, claramente insegura.

En este caso, se entiende que desde Google han preferido sacrificar la seguridad en pro de una mayor compatibilidad con todo tipo de navegadores web, dispositivos móviles, notificadores de correo, etc, un error a mi entender ya que debería ser al revés en un caso como este del correo electrónico, primero seguridad y luego compatibilidad o el mejor compromiso posible para estos dos factores.

Este tema es más preocupante al haber muchos usuarios de Gmail que se conectan únicamente a través del navegador, en el caso de recibir el correo vía POP o IMAP, normalmente se hace bajo SSL (Segure Socket Layer) o TSL, su sucesor y esos correos llegarán a vuestro sistema bajo cifrado, por lo que en el caso de que alguien intente interceptar con un sniffer esos datos, al no circular como texto plano (para entendernos), serán mucho más difíciles de capturar.

Para evitar esto en la navegación, se usa el protocolo HTTPS, similar al HTTP pero bajo una capa de cifrado vía SSL y es básicamente lo que os recomendamos para un uso correcto y más seguro de Gmail. Esta opción se hace imprescindible en el caso de que os conectéis vía web a Gmail bajo redes «no seguras» como pueden ser una Wi-fi pública o abierta, un cibercafé (nada recomendable), un equipo que se encuentre en vuestro trabajo, compartido, etc.

¿Cómo activar el uso de HTTPS?

1. Accede a Gmail.
2. Haz clic en Configuración en la parte superior de cualquier página de Gmail.
3. Selecciona «Usar siempre https» para la «Conexión del navegador:».
4. Haz clic en Guardar cambios.
5. Vuelve a cargar Gmail.

La mejor combinación posible sería (para este caso de Gmail y otros) el uso de SSL activado en vuestro cliente de correo electrónico y si es posible, usar una conexión web segura (https) para consultarlo vía webmail.

Si alguno tiene dudas de su importancia, puede probar a bajar sus correos sin cifrar y someter el tráfico de su tarjeta de red al análisis de una herramienta como Dsniff y cuando vea la contraseña del su cuenta de correo electrónico, así como todos sus mails en texto plano visualizados en la pantalla de su equipo, se dará cuenta de lo devastador que puede ser un ataque de este tipo…

Gmail avisa de que con la opción HTTPS activada, puede haber alguna incompatibilidad con su notificador de correo, subsanable con un parche que ellos mismos proveen y también que en algún caso, su aplicación de Gmail para móviles puede funcionar incorrectamente (también hay instrucciones sobre como intentar solventarlo). También hablan de una posible lentitud en el servicio cosa que personalmente nunca he llegado a notar y las ventajas siempre en este caso pesan mucho más en la balanza.

Por David Hernández (Dabo).

En estos momentos, todas las búsquedas que se realizan en Google aparecen con el mensaje «Este sitio puede dañar tu equipo», tanto en la lista de la búsqueda como cuando accedes al enlace para entrar al site.

Incluso y lo que es más «gracioso», entre comillas porque poca gracia tiene, la que aude al propio Google,para muestra una captura de pantalla. ¿El motivo? de momento sólo ellos lo saben, pero creo que tendrán que solventarlo y rápido ya que mientras permanezca este aviso, muchos usuarios van a despistarse (acojonarse) y se va a montar un buen lío -;).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Os recomendamos la lectura de un artículo publicado en el blog de Liamngls sobre como crear un sitemap de Google en una bitácora alojada en Blogger. Es una manera muy sencilla de mejorar la indexación (o grado de contenido que Google tiene guardado sobre tu blog) de contenidos, con un simple archivo en formato XML que viene a enumerar las URLs de tu bitácora junto con algunos metadatos necesarios para que Google sepa cuando fue la última actualización, la frecuencia con la que modificas contenido o su relevancia respecto a otras URL de tu blog.

Leer más…

Continue reading…

Vía Google Dirson reseñamos esta noticia que viene a contradecir lo que dijo hace un par de años Matt Cutts. El considerado máximo responsable del buscador, recomendó en su momento a los webmasters usar los guiones medios en las url (ejemplo-web.com). Pues bien, ahora Cutts comenta que Google también tiene en cuenta los guiones bajos (ejemplo_web.com) a la hora de indexar informacíón sobre el dominio en cuestión. Además, en la información extendida, podréis saber algo más de lo que dijo.

Leer más…
Continue reading…

Vía Google Dirson, reseñamos esta información del lanzamiento de ‘Google Custom Search Business Edition’, una alternativa de pago que ofrece Google a un precio de 72 € anuales, para realizar búsquedas internas en una web pero sin publicidad, como es el caso de otros productos como «Google Custom Search Engine», etc. El servicio es válido para websites con menos de 5.000 páginas indexadas por Google, aunque también hay otras tarifas para lugares con más tráfico.

Leer más…
Continue reading…

Hola amigos, como algunos sabéis, después de la compra de Nedstat y la aparición de Webstats4u llegaron los pop-ups, yo quité de daboweb la medición de visitas con esta compañía. Google ha vuelto a dar un golpe de efecto en el mundo de los webmasters ya que después de la compra de Urchin, (reputada empresa de estadísticas web) ofrecen un servicio de estadísticas para vuestras webs mucho más completo que el de Webstats4u, le han llamado Google analytics (sigue)

Continue reading…

Leemos en google.dirson.com, que la empresa Google podría haber comenzado a enviar mails a algunos webmasters, indicando que su sitio web va a ser eliminado del directorio Google, por practicar metodos penalizados…

Continue reading…