Daboweb

Navegador web

[Breves] Bug en Safari permite ejecutar código malicioso

Posted by Dabo on mayo 11, 2010
[Breves]

Un bug en el conocido navegador web Safari de Apple, podría permitir la instalación y ejecución de malware simplemente con que un usuario cierre un pop-up proveniente de páginas o correos electrónicos en HTML maliciosos.

Precaución con los mensajes que se abren vía webmail, se recomienda inhabilitar JavaScript excepto para sitios de confianza.

Vía Bitelia.

Tags: , , ,

El peligro de las URLs cortas (Short-URLs). Protégete con Firefox.

Posted by Dabo on abril 11, 2010
Seguridad Informática

Interesante entrada en el blog de ESET Latinoamérica sobre los peligros que pueden acarrear para el usuario, ciertas URLs cortas (Short-URLs) muy usadas en servicios como puede ser Twitter.

El problema viene dado porque esa URL corta, podría llevarnos a un sitio web dañino sin darnos cuenta, ya que, situando el cursor del ratón sobre el enlace, no se puede ver el destino final del enlace. ¿Cómo paliarlo?

No es una solución definitiva, pero puede ser muy válida para la mayor parte de los casos, los usuarios de Firefox y derivados, pueden instalar la extensiónLongUrlPlease“(válida para Firefox: 2.0 – 3.6). Con este añadido, podremos ver al situar el ratón sobre el link el auténtico destino del mismo, funciona con unos 80 lugares que proporcionan el acortamiento de URLs y es una protección muy efectiva ante este tipo de engaños.

Tags: , , , , , , ,

Navegador web Apple Safari 4.0.5 para Mac OS X y Windows (Solventa múltiples bugs)

Posted by Dabo on marzo 12, 2010
Seguridad Informática

Apple acaba de publicar el lanzamiento de la versión 4.0.5 de su navegador web Safari, esta entrega del software solventa múltiples vulnerabilidades en ColorSync, ImageIO, PubSub y su motor WebKit.

Safari 4.0.5 está disponible para Mac OS X S.Leopard, Leopard, Tiger, Windows Vista y 7 y dado el impacto de los bugs que se han parcheado en esta versión, es más que aconsejable su inmediata actualización. La gran mayoría de fallos corregidos previenen la ejecución arbitraria de código en el sistema afectado, corrupciones de memoria en el navegador o un cierre inesperado.

Además de lo dicho, se mejoran otros aspectos del navegador como pueden ser el funcionamiento de “Top Sites” o la configuración de Safari con algunos routers Linksys.

Descarga de Safari 4.0.5.

(Debajo toda la lista de vulnerabilidades corregidas según la info de la lista de correo de “Apple Security”; (ENG)

APPLE-SA-2010-03-11-1 Safari 4.0.5

Safari 4.0.5 is now available and addresses the following:

Continue reading…

Tags: , , , , , , , , , , , , , ,

Navegador web Safari 4.0.4, actualización de seguridad

Posted by Dabo on noviembre 12, 2009
Seguridad Informática

Apple acaba de liberar la versión 4.0.4 de su navegador web Safari que además de mejoras en el funcionamiento en general del software, solventa varios fallos de seguridad en Safari por lo que su actualización es más que recomendable.

Está disponible para Mac OS X Tiger, Leopard, Snow Leopard y Windows 7, Vista y XP.

Además de dotar de más seguridad al navegador, según informan desde Apple, esta actualización mejora los siguientes aspectos;

Mayor rendimiento de JavaScript
Mayor rendimiento de la búsqueda en el historial completo para usuarios con muchos elementos en el historial
Mayor estabilidad de los módulos de terceras partes, el campo de búsqueda y Yahoo! Mail

Sitio web de descarga de Safari.

Tags: , , , , , , , , , ,

Vulnerabilidad crítica en Google Chrome (info y solución)

Posted by Dabo on octubre 02, 2009
Seguridad Informática

Se ha reportado una vulnerabilidad crítica explotable tanto local como remotamente en el navegador web Google Chrome. El fallo viene dado por un error de corrupción de memoria en el motor “v8”, en combinación con el procesamiento de ciertas cadenas de números flotantes bajo su implementación “dtoa()”.

La explotación de este bug podría llevar a comprometer un sistema vulnerable causando desde el cierre del navegador como mal menor, o la ejecución de código arbitrario dentro de la “sandbox” (Caja de arena, término en informática que se refiere a un sistema de seguridad que se usa para ejecutar la aplicación en un entorno cerrado, si por ejemplo un atacante logra ejecutar código arbitrario, de este modo se protege al sistema de dicho código)

Versiones vulnerables, las anteriores a la 3.0.195.24.

La solución pasa por instalar la versión 3.0.195.24 de Google Chrome. Cómo actualizar Google Chrome.

Fuente, VUPEN | Más info. (ENG).

Tags: , , , , ,

Resumen de contenidos publicados en Septiembre de 2009

Posted by Dabo on octubre 01, 2009
Seguridad Informática

Como viene siendo habitual,  os recomendamos el recopilatorio de entradas publicadas en Daboweb (mes de Septiembre) por si en el día a día de la publicación, alguna que pudiera interesarte se te ha pasado por alto.

Todos los comentarios los vamos recogiendo en el foro de noticias que hemos creado para opinar sobre ellas. También te invitamos a participar en nuestros foros para exponer tus dudas o ayudar a despejar las que tengan otros. (Te recomendamos ver nuestro archivos de contenidos publicados).

Septiembre 2009

Tags: , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Serias vulnerabilidades en el navegador web Debian Iceweasel

Posted by Dabo on septiembre 14, 2009
Seguridad Informática

Se han reportado vulnerabilidades severas en Debian Iceweasel, este navegador como muchos sabréis, es un proyecto derivado de Mozilla Firefox, creado bajo la licencia y filosofía de Debian GNU/Linux.

Concretamente se trata de dos errores, el primero se da en el módulo “FeedWriter” que podría llevar a la ejecución de código Javascript con elevados privilegios en el sistema afectado, el segundo caso de ser explotado podría provocar un cross-site scripting por un mal funcionamiento de la interfaz del plugin “MozSearch”.

En la versión actual estable de Debian (lenny, 5.0) los problemas se solventan actualizando a la versión 3-0-6-3, en la versión inestable (Sid), Debian pone a disposición de los usuarios la versión 3.0.14-1 y en la rama experimental, dichos bugs se han solventado con la versión 3.5.3.1.

Recordar también a los usuarios de la antigua versión estable (Etch, 4.0), etiquetada como “oldstable” deberán instalar manualmente cualquiera de las versiones estables, ya que para esta rama de Debian, aunque siguen llegando actualizaciones de seguridad (más bien indicadas para servidores web) regularmente, Iceweasel queda excluido de ellas. En cualquier caso, conviene actualizar a la mayor brevedad posible el navegador.

Fuente Security Focus (ENG).

Por David Hernández (Dabo).

Tags: , , , , , , , , ,

Actualizar Google Chrome

Posted by Liamngls on agosto 29, 2009
Manuales y Tutoriales

Actualizar el navegador de Google es una tarea bastante sencilla pero la forma de hacerlo puede no resultar demasiado obvia para mucha gente; por este motivo y teniendo en cuenta que cada vez más gente utiliza esta navegador vamos a ver cuan sencillo es actualizarlo en unos simples y cómodos pasos.

Para hacerlo iremos a las opciones del navegador que se encuentran en la parte superior derecha, en un icono con forma de herramienta (), pinchamos ahí para desplegar el menú y seleccionamos Acerca de Google Chrome (About Google Chrome, en inglés).

Automáticamente el navegador empezará a buscar actualizaciones, mostrará un mensaje mientras lo hace, y a continuación si hay nueva versión disponible nos mostrará el botón (como se ve en la captura) para actualizar. Una vez actualizado solo queda reiniciar el navegador para los cambios surtan efecto.

Y esto es todo, fácil y sencillo, aunque como decía al principio la opción está un poco escondida.

Tags: , , , , ,

Vulnerabilidad de alto riesgo para la nueva versión de Firefox 3.5.1

Posted by Dabo on julio 19, 2009
Seguridad Informática

Simon Berry-Byrne, quien descubrió el bug que afectaba a la versión 3.5 (exploit incluido), ha reportado otra vulnerabilidad para la nueva versión 3.5.1 que vio la luz hace unos días y por lo que hemos podido leer, sin solución de momento, el uso de NoScript parece que no lo mitiga por completo.

Mozilla Firefox 3.5.1 es sensible a un ataque remoto por desbordamiento del búfer (unicode data buffer overflow) y la catalogación de “alto riesgo” se la otorga xforce en este caso, las consecuencias podrían ser bien la ejecución arbitraria de código en el sistema afectado o un mal funcionamiento de la aplicación.

Fuente Blog Hispasec| Más info (ENG).

Tags: , , , , , ,

Vulnerabilidad en Google Chrome

Posted by Dabo on abril 26, 2009
Seguridad Informática

Roi Saltzman del IBM Rational Application Security Research Group ha reportado una vulnerabilidad en Google Chrome que afecta a la versión 1.0.154.55 y anteriores considerada como de riesgo moderado.

Este bug podría permitir a atacantes remotos saltarse las restricciones de seguridad y conseguir información sensible del sistema afectado. El falllo es provocado por un error en el tratamiento de “ChromeHTML” URI pudiendo provocar la enumeración de archivos del usuario o listado de sus directorios así como una ejecución arbitraria de código.

Curiosamente al igual que ha sucedido en alguna ocasión con Firefox, la explotación de la vulnerabilidad viene en combinación de la visita a una web maliciosa utilizando Internet Explorer.

La solución pasa por actualizar Google Chrome a la versión 1.0.154.59. Fuente Vulpen | Más info.

Por David Hernández (Dabo).

Tags: , , , , ,

Vulnerabilidades en navegador web Apple Safari. Nueva versión 3.2.2 para Windows Vista y XP

Posted by Dabo on febrero 13, 2009
Seguridad Informática

Se han reportado varias vulnerabilidades en el navegador Safari de Apple que afectan a sistemas Windows Vista y XP.

Ya está disponible la versión 3.2.2 de Safari que solventa dichos bugs desde el actualizador de software de Apple así como del sitio de descargas del navegador.

Estos fallos (ejecución de código arbitrario en feeds / RSS manipulados o Javascript embebidos en los mismos) no afectan a sistemas Mac OS X con el Security Update 2009-001 instalado (publicados los detalles del mismo en Daboweb hace unas horas).

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , , , , , , ,

Actualizaciones navegadores web

Posted by Destroyer on diciembre 28, 2008
Programas

A continuación exponemos un recopilatorio de algunos de los navegadores web que han actualizado sus versiones a lo largo de las últimas semanas.

Es muy importante disponer de las más recientes actualizaciones de este tipo de programas, para en la medida de lo posible, minimizar las vulnerabilidades y riesgos de seguridad en nuestra navegación por la red.

.
  • Seamonkey 1.1.14: Un completo conjunto de herramientas para la web compuesto por navegador web, editor de páginas web, cliente de e-mail, libreta de direcciones, etc. para sistemas Windows, Linux y Mac OS X.
  • Opera 9.63: Un navegador gratuito para equipos con sistema operativo Windows, Mac, Linux, FreeBsd, Solaris, que nos permite guardar sesiones, bloqueo de pop-ups y anuncios, cliente de bittorrent y protección anti-phishing entre otros, que cuenta además con una protección anti malware que nos avisará al acceder a páginas web maliciosas.
  • Avant Browser 11.7 Build 20 : Un navegador para equipos con sistema operativo Windows, basado en el motor de Internet Explorer, que ofrece bloqueo de ventanas emergentes, navegación por pestañas, filtro antipublicidad, etc. Listado de cambios.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , ,

Vulnerabilidades críticas en Firefox actualización 2.0.0.19 y 3.0.5. Ojo 2.0.0.20 para Windows

Posted by Destroyer on diciembre 17, 2008
Seguridad Informática

Se encuentran disponibles para su descarga las nuevas versiones Firefox 3.0.5 Final y Firefox 2.0.0.19 Final del navegador web de Mozilla.

Estas nuevas actualizaciones vienen a solventar varios fallos de seguridad catálogados como críticos, que afectarían a las versiones anteriores del navegador.

El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.

Se recomienda actualizar a estas nuevas versiones a la mayor brevedad posible.

A todos aquellos que aún utilizáis la rama 2.x recordaros que Mozilla ya anunció que a mediados de este mes discontinuaría sus actualizaciones, y esta es la última versión, por lo que os recomendamos actualicéis a la rama 3.x

Un error de Firefox podría ser utilizado por un sitio web malicioso para robar datos privados de usuarios. Aviso de seguridad.

La versión para Windows de Firefox 2.0.0.19 fue publicada sin la solución para este problema (otras plataformas fueron correctamente parcheadas). Firefox 2.0.0.20 para sistemas Windows ha sido liberado para corregir esta vulnerabilidad.

Podeis utilizar el mismo enlace de descarga de la versión anterior para realizar la descarga de esta actualización.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias

Tags: , , , , ,

Múltiples vulnerabilidades en Apple Safari. Actualiza a la versión 3.2

Posted by Dabo on noviembre 14, 2008
Seguridad Informática

Se han reportado varias vulnerabilidades en el navegador web Apple Safari que afectan a las versiones para Windows XP, Vista, Mac OS X v10.4.11 y Mac OS X v10.5.5.

Los problemas localizados pueden llevar a la ejecución de código arbitrario, conseguir información sensible del sistema afectado, un cierre inesperado de la aplicación, ataques de denegación de servicio, etc, etc.

Todos estos motivos hacen que actualizar Safari a la nueva versión 3.2, que solventa dichos bugs, sea algo más que necesario si no queréis tener problemas con su uso.

Más info > Página de descarga de Safari | Notas de la nueva versión

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , ,

Firefox 2.0.0.18 y Firefox 3.0.4 solventan vulnerabilidades críticas

Posted by Destroyer on noviembre 13, 2008
Seguridad Informática

Se encuentran disponibles para su descarga las nuevas versiones Firefox 3.0.4 Final y Firefox 2.0.0.18 Final del navegador web de Mozilla.

Estas nuevas actualizaciones vienen a solventar varios fallos de seguridad críticos que afectarían a las versiones anteriores del navegador.

El navegador web Mozilla Firefox está disponible para varios sistemas e idiomas incluido el español. La actualización puede realizarse desde el propio navegador mediante la actualización automática a través del menú Ayuda -> Buscar actualizaciones si no tenéis configurada la detección automática de nuevas versiones, o bien, realizar la descarga manualmente e instalar posteriormente.

Se recomienda actualizar a estas nuevas versiones a la mayor brevedad posible.

¿Quieres comentar algo sobre este post? Puedes hacerlo en nuestro foro de noticias.

Tags: , , , ,