Daboweb | Seguridad y ayuda informática |

En el caso de Drupal, se ha puesto a disposición de los usuarios la versión 7.30 que solventa varios fallos de importancia en su funcionamiento a nivel general, si hablamos de Joomla, las versiones 3.3.3 y 2.5.24, corrigen 4 y 2 errores por lo que es aconsejable mantenerlos actualizados.

El equipo de desarrollo de Coppermine ha publicado una actualización de su sistema de galerías (versión 1.5.16) que viene a solventar una vulnerabilidad catalogada como «seria» para la integridad del CMS (Gestor de contenidos).

El bug afecta a la posibilidad de registrarse y acceder a la parte administrativa de las galerías con privilegios de administrador, de ahí que digan; «de obligatoria actualización«. Además de este fallo, se han añadido 4 mejoras en otros aspectos de Coppermine.

La info original y cambios (ENG) | Link a la descarga | Tutorial actualización Coppermine.

La compañía MPEG LA ha decidido hacer libre de pagos el uso del codec de video H.264, el cual desde hace tiempo era objeto de discordia junto al VP8 como codec standar en el nuevo HTML 5. De esta forma el principal ganador de todo este lio es Apple, debido a que ya lo estaba usando de forma mayoritaria, siendo esta vez el gran perjudicado Adobe con su apuesta por el conocido Flash.

De esta forma el usuario final quedará libre de tener que pagar por el uso de este codec para visualizar videos en Internet, pero no ocurrirá lo mismo con aquellas compañías que pretendan hacer un uso comercial de esta tecnología, las cuales deberan desembolsar una cantidad de dinero para poder utiilizarla. Sin duda la mejor opción hubiera sido la utilización del formato libre VP8, por el cual la Free Software Foundation apostó claramente instando a Youtube a usarlo de forma predeterminada.

Hay que recordar que el codec H.264 ha salido perdedor en las pruebas de rendimiento, con lo que no es difícil imaginar que su «victoria» se deba principalmente a su amplia utilización y penetración en Internet. Nuevamente  el mercado gana sobre la calidad y sobre todo sobre la libertad de uso y modificación de un software.

En la Keynote de ayer Lunes Apple ha superado con creces las expectativas creadas por la mayoría de sitios web dedicados íntegramente al mundo Mac.

Y es que no es para menos, hoy no estaba Steve Jobs en el escenario, pero los «fan boys» de Apple pueden estar contentos por la gran cantidad de novedades presentes y futuras que se han presentado en una Keynote que será recordada como de las más extensas, vamos a dar un repaso a todo lo nuevo que sobre el papel pinta muy bien.

Safari 4 para Mac OS X y Windows versión final;

La versión final del navegador Safari de Apple ha salido hoy a la luz, con un respeto mayor por los estándares (100/100 en el test Acid3), más velocidad y estabilidad, Safari 4 cuenta con el nuevo motor de Javascript «nitro» que es casi 5 veces más rápido que el que incorporaba Safari 3x, nuevas funcionalidades como «Top Sites», búsqueda en todo el historial, vista tipo «Cover Flow» así como un mayor soporte para HTML 5, mejoras en CSS, etc.

Información y descarga de Safari 4 final para Mac y PC (Disponible en el menú «Actualización de Software»)

Nuevo iPhone 3GS y para los actuales, la esperada versión 3.0 del software;

Algunas funcionalidades del nuevo iPhone 3GS, el 19 de Junio (la «S» es de speed, velocidad) son compartidas en la versión 3.0 del software (el 17 de Junio estará disponible para los antiguos) e increíblemente no las incorporaban, vamos a repasar lo que trae el nuevo iPhone 3GS y algunas novedades del software 3.0.

La demandada función de copiar, pegar, cortar y deshacer texto entre aplicaciones ya disponible.
Nueva cámara de 3 megapixeles con auto-focus, geolocalización y grabación de vídeo (calidad VGA) 30fps
Control de voz, brújula digital junto con el GPS, batería con mayor duración (un 30 % más), algo necesario si se activa el 3G.
Envío de mensajes multimedia (MMS) ya desde su lanzamiento, escritura y vista horizontal para aplicaciones (como mail).
Nueva versión del navegador Safari con soporte para audio y vídeo HTML 5, streaming con el nuevo QuickTime de audio y vídeo.
«Find my phone» para usuarios de MobileMe, se puede ver en un mapa la situación del teléfono caso de haber sido robado y borrar sus datos.
Soporte de OpenGL ES 2.0 para videojuegos, soporte igualmente para HSDPA de 7.2 Mbps, una navegación más rápida.
Otra que no sé si Telefónica aprobará, la función «Tethering» el uso del iPhone como modem vía USB o Bluetooth usando la tarifa del teléfono. De todos modos esto ya se puede hacer con el «JailBreak».

Como dato complementario la empresa Tom Tom ya ha desarrollado su versión de navegador para el iPhone y ha sido aprobado (por fin) por Apple por lo que se podrá disfrutar de un navegador «de verdad».

Nuevos MacBooks Pro de 13 «, novedades para el resto y rebajas en los «Air»;

La sorpresa del día vino con los MacBook de aluminio (antes Unibody), que ahora se llamarán MacBook Pro, creando de este modo una nueva gama de 13 pulgadas (hasta ahora los «pro» eran de 15 ). El nuevo MacBook Pro de 13 pulgadas (desde 1.100 eur) incorpora

Continue reading…

Roi Saltzman del IBM Rational Application Security Research Group ha reportado una vulnerabilidad en Google Chrome que afecta a la versión 1.0.154.55 y anteriores considerada como de riesgo moderado.

Este bug podría permitir a atacantes remotos saltarse las restricciones de seguridad y conseguir información sensible del sistema afectado. El falllo es provocado por un error en el tratamiento de «ChromeHTML» URI pudiendo provocar la enumeración de archivos del usuario o listado de sus directorios así como una ejecución arbitraria de código.

Curiosamente al igual que ha sucedido en alguna ocasión con Firefox, la explotación de la vulnerabilidad viene en combinación de la visita a una web maliciosa utilizando Internet Explorer.

La solución pasa por actualizar Google Chrome a la versión 1.0.154.59. Fuente Vulpen | Más info.

Por David Hernández (Dabo).

Como muchos sabréis, Internet Explorer 8 ya está en la sección de descargas de Microsoft desde hace unos días. Después de más de un año en estado “Beta”, ya se puede usar como una versión estable.

¿Qué podemos esperar de IE8 hablando de seguridad? Esta nueva entrega del veterano Explorer viene con muchas novedades para el usuario final, algunas serán muy apreciadas por usuarios sin mucha experiencia en Internet, otras creo que no tanto por usuarios más avanzados. Siempre es una buena noticia que el navegador que ahora mismo goza de la mayor cuota de mercado (espero y sé que no por mucho tiempo) sea más seguro, más que nada porque eso redunda en beneficios para todos, los que usan productos de Microsoft y los que no los usamos habitualmente.

Seguridad en IE8

Microsoft ha llamado “Navegación privada” (InPrivate) a lo que coloquialmente se está denominando “Modo porno”, que no es otra cosa que un modo de navegación en el que una vez se finaliza la sesión, no queda registrado en el equipo nada de los lugares en los que hemos estado navegando, tampoco se almacenan cookies, contraseñas guardadas ni quedará ningún dato registrado en el historial del navegador o formularios de búsqueda o de entrada de datos.

Para ser justos, esto además de para usuarios que naveguen habitualmente por webs de contenido pornográfico, puede ser muy útil en equipos compartidos, ciber cafés, etc. Eso si, nada que no se puede hacer con otro navegador como Chrome de Google, Safari de Apple o incluso en el próximo Firefox 3.1, en versiones actuales de Firefox con alguna extensión y pequeños cambios se puede hacer mucho en pro de mejorar la privacidad, sólo que aquí lo consiguen con un click de ratón abriendo una nueva pestaña que ejecuta esa nueva sesión de navegación como un proceso del sistema aparte, al más puro estilo Chrome, aunque por defecto, según he podido comprobar, no viene activado.

Como apunte simplemente comentar que eso de la «navegación privada» le ha provocado a más de un navegador un disgusto, como ejemplo el caso de Safari y que nadie se olvide que si bien una vez que ha finalizado la sesión de navegación no quedarán en teoría rastros de por donde se ha estado, mientras se esté llevando a cabo esa sesión de navegación, el equipo y navegador es sensible a cualquiera de los múltiples ataques que se pueden dar vía web.

Un dato curioso, Unas horas después de salir a la luz, el navegador de Microsoft ya fue hackeado en el concurso PWN2OWN, también cayeron Safari y Firefox y sólo Google Chrome aguantó el envite. De todas formas en estas pruebas ya se tiene bien estudiada la vulnerabilidad a explotar y que haya sido en unos minutos es meramente anecdótico, porque la preparación igual se ha llevado a cabo desde hace meses en las que IE8 era una versión «beta». Ahora bien, buena publicidad y buen comienzo no es desde luego…

Otra de las novedades hablando de seguridad es su filtro anti-malware “SmartScreen”, funciona de un modo parecido al “Safe Search “ de Google con el cual se avisa a los usuarios de los lugares potencialmente peligrosos para sus equipos, según informan desde Microsoft evita la instalación inadvertida de código o algún programa que ellos consideren malintencionado o que pueda comprometer de algún modo la seguridad de tu sistema.

Lógicamente, esto no puede ser considerado como un antivirus integrado en el navegador, por lo que os seguiremos recomendando hablando de Windows, el uso de uno de ellos además de un firewall y una solución anti-spyware. Otro tema puede ser la consideración de lo que para Microsoft puede ser peligroso por lo que si fuera tu, yo me cuidaría muy mucho de ver como funciona ese filtro…

Protección contra ataques XSS. Es el nuevo filtro de scripts malintencionados de Internet Explorer 8. Una nueva característica para detectar y bloquear código malicioso en webs manipuladas para tal fin y con este filtro, se pretende combatir el robo de sesiones de navegación y cookies del usuario en busca de una navegación más segura.

Algo que los usuarios de Firefox y derivados ya usamos hace mucho tiempo con la extensión “noscript” (con muy buenos resultados por cierto pero tampoco es infalible, ojo).

Incorpora también una protección anti-phising que a mi modo de ver se queda (muy) corta y que lo que hace es simplemente resaltar el dominio principal en negrita para que el usuario vea que corresponde a un dominio legítimo (un punto que daría mucho que hablar). Esta de por si no es una mala medida, pero no sé que les hubiera costado hacer lo mismo con dominios que empiecen con «https» (conexión segura) yendo un poco más allá del típico candado y seguro que si lo resaltan de la misma forma la gente lo asociaría de un modo más fácil.

Para acabar, si usas Windows Vista Service Pack 1, Microsoft anuncia otra protección más por medio de la prevención de ejecución de datos (DEP), una forma de intentar proteger la ejecución de código malicioso en memoria.

He probado IE8 en una máquina virtual bajo Debian GNU/Linux en la que corría un Windows XP y se hace hasta raro que sea tan fácil y accesible su desinstalación, cosa que he hecho nada más acabar de probarlo. En el momento de escribir esta entrada, acabo de ver un post publicado por nuestros amigos de Blogoff sobre Explorer 8 donde podréis informaros con detalle de otras funcionalidades que a mi sinceramente me parecen un cúmulo de «come-recursos», como esa forma de querer reinventar las RSS (los slides) o los aceleradores.

Del cacareado respeto a los estándares web de IE8 nada de nada, estrepitoso fracaso en el Acid3 Test por lo que este navegador seguirá siendo el más odiado entre los desarrolladores web y con toda la razón del mundo ya que Microsoft sólo trabaja con un estándar, el de Microsoft.

Algunos resultados del test ACID3 (podéis probar).

100/100 Chrome 2.0.169.1 Beta
100/100 Epiphany 2.24 (Webkit)
100/100 Midori (Webkit)
100/100 Opera 10 Alpha
100/100 Safari 4 Beta (Webkit)
71/100  Epiphany 2.24 (Gecko)
85/100  Konqueror 4.2
85/100  Opera 9.64
79/100  Google Chrome 1.0.154.48
75/100  Safari 3.1
71/100  Firefox 3.0.7
71/100  Songbird 1.1.1
71/100  Flock 2.0.3
53/100  K-Meleon 1.5.2
20/100  Internet Explorer 8.0.6001.18372
12/100  Internet Explorer 7

Apuntar que esta prueba no es oficial del W3C, pero se basa en 100 test que buscan la máxima compatibilidad con sus estándares, desde la interpretación del código HTML, CSS, pasando por el renderizado, DOM, etc, etc.

En definitiva, Internet Explorer 8 es un navegador más seguro que sus anteriores versiones, pero creo que dista mucho de ser un navegador recomendable a nivel general habiendo otras versiones que cumplen mejor su cometido. Será por opciones…

(Nota del editor, considérese esta entrada como una apreciación personal y subjetiva de alguien que nunca ha visto con buenos ojos a este navegador y que lo ha probado pero no con la suficiente profundidad ya que más de una hora con IE me produce espasmos y convulsiones -;)

Por David Hernández (Dabo).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Nos adelantan en una información de IBM reseñada por The Inquirer, nuevas características de lo que será HTML 5. Desde el año 1.999 con el fin del desarrollo para la versión 4, no se habían hecho avances en ese sentido pero hablan de nuevos elementos en la estructura y otros parámetros del lenguaje tales como «figure, section o aside», otros como meter, time o progress ásí como nuevas formas de «incrustar» audio o vídeo. Por lo que podemos leer, el futuro de HTML aún con los grandes cambios que traerá, está más que asegurado.

Leer más…

Continue reading…